cookies、session、token

最新推荐文章于 2024-04-16 11:43:18 发布
最新推荐文章于 2024-04-16 11:43:18 发布
阅读量184 收藏
点赞数 1
分类专栏: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013151574/article/details/89563412
版权

首先http是无状态的协议,为了使某个域名下的所有网页能共享数据,有了session 和cookies

session

:sessionid与session key-value对应(我以前一直认为seesionid就是session所以一直不理解)

 客户端访问服务器流程:

1、当浏览器第一次访问服务器时,会在服务器端建立一个session,同时生成一个唯一的sessionID。sessionID和session作为key和value保存在缓存或数据库中,。服务器把sessionid以cookie的形式返回给浏览器;

2、下次访问时,浏览器发送的请求的cookie中携带此session ID;

3、服务器收到请求,分析cookie,验证信息,核对成功后返回response给客户端

     服务器端session控制登录

HttpSession session = request.getSession();         

//使用request对象的getSession()获取session,如果session不存在则创建一个 这里把sessionid以cookie形式传给客户端

//将数据存储到session中

if (session.getAttribute("user1") == null) {

            //进行登录

            if (username.equals("user1")) {

                session.setAttribute("user1",session.getId());

                return "登录成功!";

            }else{

                return "登录失败!";

            }

        } else if (session.getAttribute("user1") != null && session.getAttribute("user1").equals(session.getId())) {

            return "免登陆";



}

 

 

客户端是没有session说法的,session是服务器在客户端建立连接时添加客户端连接标志。一般通过cookies发送给客户端,当客户端第一次请求时服务器会检查是否携带了这个Session(临时Cookie),如果没有则会添加Session,如果有就拿出这个Session来做相关操作。

 

token:

最简单的token组成:uid、time、sign

 

1、用户通过用户名密码发送请求登录

2、服务器验证,校验生成token

3、服务器返回一个签名的token给客户端

4、客户端存储token并没次请求携带token (放在http头)

5、服务器端验证token并返回数据

基于JWT(json web token)的token认证实现

JWT 标准token:header,payload、signature中间用点分隔,用Base64编码;

header:{

  "alg": "HS256"

}加密算法

payload:token的具体内容,标准字段等

signature:这部分内容有三个部分,先是用 Base64 编码的 header.payload ,再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端。

const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);

HMACSHA256(encodedString, 'secret’);

 

客户端收到这个 Token 以后把它存储下来,下回向服务端发送请求的时候就带着这个 Token 。服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源。

 

session和token区别:

1、session 浏览器自动携带,token需代码携带

2、session需要存储空间,token不需要

梦zh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【ASP.NET】-Cookie、SessionToken机制
Arielle-L
03-03 689
前几天学习Session与cookie的时候想起来有一次技术分享时候,提到了Token机制,心里想着他们都是状态保持机制,有什么关系和区别呢,今天查了下简单有个认识; Cookie-客户端状态保持机制: 客户端状态保持Cookie,是一种文本文件,也就是以字符串的形式保存在用户电脑上的一些数据;详见:Cookie机制; Session-服务端状态保持机制: Session是指一个终端用户与交互系统...
ASP.NET WebApi 实现Token验证
xulong5000的专栏
09-28 2501
基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认证: Step 1:安装所需的NuGet包: 打...
c# asp.net 中使用token验证
weixin_30924239的博客
04-16 6944
基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证发送给用户一个token 客户端存储token,并在每...
jwt在ASP.NET MVC下的token用法
r2673673120的专栏
04-18 3523
[转载]Json Web Token(jwt) 一种不错的身份验证及授权方案,与 Session 相反,Jwt 将用户信息存放在 Token 的 payload 字段保存在客户端,通过 RSA 加密的方式,保证数据不会被篡改,验证数据有效性。 详细请参考jwt.io。 本文在转载文上做了一些修改,避免初学者走弯路,以下文章中有介绍设置过期时间,还有,token仔细...
Cookie,Session,Token详解
q123q9的博客
03-16 2662
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的。 同时HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这三个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie选
cookie、sessiontoken
ABCFF12333的博客
06-12 455
cookie和session都是用来跟踪用户身份的会话方式。 二、工作原理: 1.Cookie的工作原理 (1)浏览器端第一次发送请求到服务器端 (2)服务器端创建Cookie,该Cookie中包含用户的信息,然后将该Cookie发送到浏览器端 (3)浏览器端再次访问服务器端时会携带服务器端创建的Cookie (4)服务器端通过Cookie中携带的数据区分不同的用户 ...
Session,Cookie,Token
Now do it
01-14 134
session,cookie和token究竟是什么 简述 http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具 cookie和session 由于http的无状态性,为了使某个域名下的所有网页能够共享某些数据,session和cookie出现了。客户端访问服务器的流程如下 首
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、SessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Sanic框架Cookies操作示例
09-20
在某些情况下,使用Session或者Token可能是更安全的选择。 在实际开发中,了解并掌握Cookies的生命周期、安全性以及跨域限制等相关知识也很重要。这有助于你构建更加健壮和安全的Web应用程序。同时,深入理解Python...
Python3以GitHub为例来实现模拟登录和爬取的实例讲解
12-17
我们先以一个最简单的实例来了解模拟登录后页面的抓取过程,其原理在于模拟登录后 Cookies 的维护。 1. 本节目标 本节将讲解以 GitHub 为例来实现模拟登录的过程,同时爬取登录后才可以访问的页面信息,如好友动态、...
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
基于ASP.NET WEB API2,Owin和ASP.NET Identity的Token令牌验证,允许刷新令牌Refresh Token,并且实现认证服务和资源服务分离
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
django框架cookie和session用法实例详解
09-18
- 跨站请求伪造(CSRF):在Django中,默认启用了CSRF保护,应使用`{% csrf_token %}`模板标签在POST表单中防止CSRF攻击。 - Cookie和Session的过期时间:合理的设置cookie和session的生命周期对于提升用户体验和...
Java接口测试Cookie与token原理解析
08-19
Cookie机制测试需要在服务端保存大量的session信息,造成严重负担。Cookie机制测试可以通过Httpclient提供的cookieStore类来加载和读取cookies。通过private CookieStore cookies = new BasicCookieStore();创建...
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6392
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
【笔记】ASP.NET Core Web API之Token验证
最新发布
夜飞鼠的专栏
04-16 1488
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
ASP.NET单点登录
11-23 2376
<br /> <br />asp.net 跨域单点登录实现原理:<br />当用户第一次访问web应用系统的时候,因为还没有登录,会被引导到认证中心进行登录;<br />根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,返回给用户一个认证的凭据;<br />用户再访问别的web应用的时候就会将这个Token带上,作为自己认证的凭据,<br />应用系统接受到请求之后会把Token送到认证中心进行效验,检查Token的合法性。<br />如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和
一文助你快速理解Cookie,Session,Token的区别
沫沫1890S的博客
12-17 1682
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别。cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
asp.net mvc 登录页面使用Token
罗汉松驻扎的工作基地
06-09 2865
近来在研究一个单点登录的例子 , 以下是一些笔记,写错的地方请见谅。 Token【登录凭证】 网络身份验证 ,常常需要输入账号和密码, 在第一次登录成功之后,会生成一个Token字符串用于记录登录成功的信息, 这个Token可以在一定时间范围内用于证明自己曾经登录成功。当这段时间范围过期之后Token会失效。 Token可以翻译为令牌,我觉得译为“登录凭证”更加贴切。(古代锦衣卫获得皇帝的颁发之后,拿着这个牌子就可以到处走,不需要再次身份验证!现代时尚一点的解释就是,家里的汽车安装了高速公路ETC之后..
cookiessessiontoken
02-26
CookiesSessionToken都是网络应用程序中常用的身份验证和状态管理机制。 Cookies是由Web服务器发送到Web浏览器的小文本文件。这些文件被存储在Web浏览器的计算机上,并且被用于在客户端和服务器之间传递状态信息。常见的用途是存储用户的登录状态和购物车中的商品。 Session是Web服务器上的一种机制,用于在客户端和服务器之间存储会话状态。在用户进行登录时,Web服务器将创建一个唯一的会话ID,并将其存储在服务器上。然后,服务器将此ID发送回客户端,并将其存储在一个Cookie中。在客户端发起后续请求时,Web服务器将检查Cookie中的会话ID,并将该请求与正确的会话状态相关联。 Token是一种独特的身份验证机制,它使用加密算法生成一些随机字符串。这些字符串是一次性的、有时限的,并且不包含用户的敏感信息。当用户登录后,服务器将生成一个Token并将其返回给客户端。之后,客户端将此Token存储在本地,并在发送后续请求时将其附加到请求头中。服务器将检查该Token并验证用户身份,从而提供访问权限。 这些机制在不同的场景中有不同的使用方式和限制,具体的选择应该根据具体情况进行决策。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值