Session、Cookie、JWT详解

最新推荐文章于 2023-12-24 15:36:04 发布
最新推荐文章于 2023-12-24 15:36:04 发布
阅读量408 收藏
点赞数
分类专栏: JAVA IDEA DEBUG JAVASCRIP 文章标签: java spring web app
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tatebrwonjava/article/details/105486447
版权

Cookie和Session的产生原因

为什么会有Cookie和Session,这是一个自然发生的事情,平时在进行开发时,通常使用HTTP或HTTPS协议发送请求到服务端,而学过计算机网络的都知道,HTTP协议是一种无状态的协议,服务端无法从请求本身知道请求方的相应信息状态,简单说就是请求对于服务端来说都是一视同仁的。这就无法满足实际的开发需求,所以就出现了Cookie和Session,这是HTTP协议无状态所引起的一些问题的补充。

Session简介

Session是存在服务端的,每当客户端请求服务端,服务端就会分配一个内存空间专门存储请求对象的状态等信息,这就是Session,通常我们利用Session存储一些客户端的状态,操作等基本信息,它的底层数据结构一般为线程安全的哈希表(比如Java中的ConcurrentHashMap)。

Session的工作原理与局限

举个例子,客户端A和服务端B,A向B首次请求,当B收到A的请求时,会针对这个请求分配相应的空间存储Session对象,同时产生一个sessionId,然后在响应头中设置Set-Cookie:JSESSIONID=****(上述提到的sessionId),在响应A请求时使A在A的本地设置一条存有SessionId的Cookie信息,同时默认过期时间为A与B的会话结束。然后A再向B请求时,就会在请求头上都带有Cookie信息,然后B通过分析Cookie信息得到sessionId,就可以知道这是A发来的信息,从而可以唯一标识A。
但是这个机制在高可用场景下存在一定的问题,还是刚才的例子,为了保证高可用,我们通常将服务端B多实例化,然后做相应的负载均衡等操作,分为实例B1,B2,B3等。这样就产生SessionId很难在这些实例中共享的问题,从而造成Session的丢失。

Cookie简介

简单来说就是服务端发送到浏览器端的一个数据。用于标识客户端身份。主要应用场景有很多,常见的比如用户操作记录等。

Cookie的工作原理

和上述的Session工作原理关联,客户端接收到服务端的响应时,照Set-Cookie的命令设置相应的Cookie并将其放在每次请求的请求头。
Cookie分为会话Cookie和持久Cookie,前者在浏览器关闭时销毁,不含过期时间,存在内存,后者则含有过期时间存入磁盘,当时间到则不可用。

安全性原理

根据凡是客户端的都是不安全的特性,无论是HTTP还是HTTPS,我们都不应该把敏感信息存入到Cookie中。举个简单的跨站脚本攻击的例子,有些情况下,HttpOnly的属性没有被设置,则有风险会被窃取Cookie。

作用域

所谓作用域就是Cookie能够发送到的链接信息。我们可以在Domain和Path中查看。
在Doamin中设置了域名,则也可以访问子域名。因此在做单点登录SSO的时候,我们通常要注意的是设置Cookie时应该将Cookie存储到第一级域名下。不然会造成跨域问题(基于浏览器同源策略,具体自行搜索了解一下)。
至于Path的话,只是形式变了,变成了路径的显示,和上面同理,设置了Path的目录,则该目录下的子目录都可以访问。

Cookie被禁用的场景

多做一个处理,在Cookie无法被设置的场景下,可以将SessionId写入URL中。从URL中获取SessionId。

JWT(JSON Web Token)与上述CookieSession的异同

相同之处

都是为了对用户做的一个状态存储和身份验证的机制。

不同之处

先要介绍一下JWT,通过JWT的全称字面意思理解就是Json格式的令牌。它之间存储的信息是经过数字签名的(因此具有密码学保证,具有可信任性)。可以根据使用的需求切换不同的密码算法进行签名。
那么与Cookie、Session机制的不同是什么呢?主要是JWT除了认证功能外,还有存储信息的功能,因为上述提到的安全特性,它可以安全的传输信息,因此可以将一些基本信息存储进去并且不必担心篡改的问题。(数字签名的一个特性就是防抵赖,防篡改)
还有对跨域认证的支持,JWT能够通过多个节点进行跨域认证,作跨域处理的成本更低。

JWT的构成

简单来说主要是三部分,Header、Payload、Signature拼接在一起。下面分别介绍

Header

通常情况下是两部分,alg属性和typ属性构成,其中alg顾名思义就是所采用的密码算法,常见的有SHA256,RSA等经典签名算法。而typ属性则主要是指定类型,默认为JWT。

Payload

主要是对客户端身份或是所需数据的声明。其中声明分为三种,registered、public、private的三种类型。
registered声明主要包含签发人,过期时间,主题,可发送方,生效时间与签发时间的部分。
public声明则字面意思理解可以随意添加信息,但是一般不添加敏感信息,因为public处的信息不安全,可以在客户端解密。
private声明则属于自定义声明,用于各方共享信息。

signature

英文理解一下就知道是签名信息,主要由三部分构成,header,payload,secret。
熟悉密码学基础的应该知道主要用于验证JWT的身份,防止篡改。这部分主要用于签名。

如何选择

SSO单点登录场景下推荐JWT,还有某些提供服务的业务场景下,由于很多第三方的api接入与提供,使用JWT既可以方便的解决跨域,还可以做白名单黑名单的校验。

Tate_Brown
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-CookieJWT
Saki_Python的博客
02-19 955
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
CookieSession、Token和JWT
weixin_58045199的博客
07-08 393
CookieSession、Token和JWT(
JWTCookieSession
m0_61504888的博客
09-23 143
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联的cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
CookieSession、Token、JWT详细介绍
AN_NI_112的博客
07-02 716
CookieSession、Token详细介绍
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3302
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
session、token、cookieJWT的区别一定要懂
weixin_45709829的博客
04-07 5691
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
区分CookieSession、Token、JWT
赫赫有安
10-28 339
如何区分CookieSession、Token、JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明 “你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(A...
详解Go-JWT-RESTful身份认证教程
01-03
1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
详解SpringCloud服务认证(JWT
08-28
【SpringCloud服务认证(JWT详解】 在微服务架构中,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其中JWT(JSON Web Token)因其独特的优势被广泛应用。JWT是一种基于JSON的开放标准(RFC 7519)...
session配置secure和httpOnly
03-16
在Web开发中,SessionCookie是两种常见的会话管理机制。Cookie主要负责在客户端和服务器之间传递信息,而Session则是服务器端存储用户状态的一种手段。本文重点讨论的是Cookie中的两个重要属性:`secure`和`...
PHP实现提高SESSION响应速度的几种方法详解
10-16
还可以通过调整PHP的SESSION配置来优化,如`session.cookie_lifetime`(控制SESSION cookie的生命周期)、`session.gc_maxlifetime`(决定SESSION数据在服务器上保留的最大时间)等,根据实际需求进行合理设置,...
cookiejwt解析
web$-小白
07-26 507
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
CookieSession,Token和Jwt详解
weixin_53952534的博客
01-25 848
cookiesession,token和jwt的区别和联系
JWT+cookie单点登录
Isonion的博客
09-01 415
Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
一文彻底搞懂cookiesession、token、jwt
酷奇的博客
03-02 1153
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 Token、JWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证Token,JWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、Token、JWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
如何安全储存JWTCookie与Web Storage
Innocence_0的博客
02-19 598
如何安全储存JWTCookie与Web Storage
JWT 实现登录认证功能及CookieSession 和 Token的区别
最新发布
m0_49692893的博客
12-24 1665
认证功能是项目基础建设之一,要实现认证功能,很容易就会想到 JWT 或者 Session,但是两者有啥区别?各自的优缺点?
如何在服务器上部署一个前后端分离的项目并解决跨域问题
热门推荐
TateBrwonJava的博客
05-19 3万+
以后端为spring-boot与前台为vue的项目举例。一.给服务器安装相应的需求环境1.安装jdk安装方式可自行百度,推荐使用yum安装,安装完成后配置环境即可。2.安装nginx。代理服务器,安装方式可自行百度,yum应该也是可以安装的。二.部署后台代码1.这里采用IDEA作为开发工具,只要通过maven的打包操作package在target那里找到jar包即可。点击package复制那个ja...
JWT详解:与Cookie, Session和Token的区别及其安全挑战
本资源是一份关于CookieSession、Token和JWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值