session、token、cookie、oauth、JWT的联系和区别

最新推荐文章于 2025-03-12 15:54:18 发布
最新推荐文章于 2025-03-12 15:54:18 发布
阅读量2.4k 收藏 17
点赞数 7
分类专栏: JavaWeb 前端 文章标签: cookie token session oauth JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcc27857285/article/details/87901559
版权

1.session:

session的产生原因是,http协议是无状态的

这就导致了,不同的用户在操作时,服务端无法知道是哪个用户发来的请求,为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式

session的使用流程一般为:

1.用户在客户端登录后,服务器会跟据用户信息生成一个sessionID

2.然后会把session存储在redis,数据库等存储媒介中

3.然后通过设置cookie的方式返回给客户端,既存放在浏览器的cookie中

4.客户端在下一个请求时,会带上cookie中的sessionid

5.然后服务端根据sessionid去查redis或者数据库,进行验证,来到达用户校验的目的

session存在的问题:

1.如果是单一的服务器,那么使用session没有问题,但是如果是集群服务器的话,那就要做session同步了,如果是4-5台服务器还是可行的,但是如果集群有上百台呢,这样session同步就会难以接受,极大的增加了服务器的性能开销

2.于是有人就想出,为session独立部署一个服务器,然后其他服务器访问这个session服务来进行存取和验证逻辑,这样就不需要做session同步了,但是这样也存在风险,万一这台服务器挂了,那整个系统都会受到牵连。

3.那么为这个session服务器再扩展,也做成集群-session集群,这也是一种可行的方案,但是非常累人

所以,session的缺点其实就一个,因为要再服务端保存管理所有用户的session,很难进行扩展

 

2.Token:

为了解决session产生的问题,所以有了token,token意为“令牌”.

简单来说,就是服务端把用户信息通过加密算法和一个只有服务端知道的密钥,来生成一个字符串,这个就是token.

然后客户端下一次请求时带上这个token,服务端拿到用户信息后通过相同的算法和密钥,生成一个新的token和用户请求里携带的token进行比对,来完成用户验证。

token的流程一般是这样的:

1.客户端使用用户名跟密码请求登录,

2.验证成功后,服务端会通过加密算法,如HMAC-SHA256,然后通过一个只有服务端知道的密钥,来生成一个token

3.服务端再把这个Token发送给客户端,服务端不会保存token

4.客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

5.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

6.服务端收到请求,然后会用相同的算法和密钥去验证token,如果通过,执行业务操作,不通过,返回不通过信息

session时通过把所有session存起来,而token则是通过算法和密钥来验证。这样的话就解决了session的问题,服务端不需要在存储任何信息了, 扩展起来就更方便。

 

3.cookie:

cookie原意为“饼干;小甜点 ”,在web领域中,cookie是浏览器实现的一种数据存储功能。

cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。

 

4. JWT:

JWT意为JSON Web Token ,可以理解成是一种特殊的token,也可以理解成是根据token的思路发展出来的一种具体的解决方案

4.1 JWT 的原理:

JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。

{
"姓名": "张三",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。

4.2 JWT 的数据结构:

实际的 JWT 大概就像下面这样:

它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行

JWT 的三个部分依次如下:

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

写成一行,就是下面的样子

 Header.Payload.Signature

下面依次介绍这三个部分

4.2.1 Header

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。

4.2.2 Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

4.2.3 Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
      base64UrlEncode(header) + "." +
      base64UrlEncode(payload),
      secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户

 

4.3 Base64URL

前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。

JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。

4.4 JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面

Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

4.5 JWT 的几个特点

  1. JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
  2. JWT 不加密的情况下,不能将秘密数据写入 JWT。
  3. JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
  4. JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  5. JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  6. 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
     

 

5.oauth:

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用

一、应用场景:

为了理解OAuth的适用场合,让我举一个假设的例子。

有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。

问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?

传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

 

(1)"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。

(2)Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。

(3)"云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。

(4)用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。

(5)只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

OAuth就是为了解决上面这些问题而诞生的.

 

六、参考链接

https://jwt.io/introduction/

https://blog.csdn.net/qq_37939251/article/details/83511451

面试题:说说 CookieSessionTokenJWT
xuxu96
12-03 663
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹系统里录入的指纹相匹配时,就打卡成功)互联网中的认证:用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
Cookie Session TokenJWT 解析
weixin_45898624的博客
06-25 1320
对登录功能的解析
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2562
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
OAuth,TokenJWT的关系
M1275601161的博客
03-08 199
参考博客: https://www.jianshu.com/p/9f80be6ba2e9 讲的很详细
单点登录(SSO)中 OAuth 2.0、JWT、SAML 的对比与核心差异
最新发布
肢解生活,直达本质;凡所有相,皆是虚妄。
03-12 1055
OAuth 2.0是授权协议的首选,适合互联网应用第三方集成。 JWT 是轻量级令牌格式,适合无状态场景,常与 OAuth 配合使用。 SAML是企业级 SSO 的成熟方案,适合复杂安全需求的内部系统。 根据场景选择:开放生态用 OAuth,企业内网用 SAML,轻量级用 JWT
OAuthJWT区别
qq_46130027的博客
03-27 1192
它们之间没有必然的联系;oauth2有clientiscope的概念,jwt没有。JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。很多情况下,在讨论OAuth2的实现时,OAuth2是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。要比较JWTOAuth2, 首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。OAuth2是一个相对复杂的协议,有4种授权模式,其中的。
JWTOAuth区别
weixin_44371237的博客
06-18 1153
JWT是一种认证协议 JWT是用在前后端分离, 需要简单的对后台API进行保护时使用。 OAuth2是一种授权框架 OAuth2用在使用第三方账号登录的情况(比如使用weibo, qq, github登录某个app)
清晰讲解CookieSessionTokenJWT之间的区别
记录分享编程与冲浪知识
01-11 1400
详细介绍Cookie, Session, Token, JWT的知识应用
CookieSessionTokenJWT
weixin_58045199的博客
07-08 490
CookieSessionTokenJWT(
CookieSessionJWT的详解
miaozy
04-10 1634
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器浏览器的会话跟踪,就需要使用 c...
OAuth2与JWT区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 7725
什么是jwtjwt相对于oauth2session的好处
JWTOauth2的区别联系
Aplumage的专栏
06-10 5779
既然是区别联系,首先就要分别对双方的内容思想有所了解: Oauth2: 是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。 Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization ...
http Cookie专栏及单点的登录SSO与OAuth 比较
HZ___ZH的博客
12-13 275
Cookie是什么 HTTP 是一个无状态的协议,每次 http 请求都是独立、无关的,默认不需要保留状态信息。由此产生cookie来如何标识认证一个用户。Cookie 本质上就是浏览器里面存储的一个很小的文本文件,内部以键值对的方式来存储(在chrome开发者面板的Application这一栏可以看到)。向同一个域名下发送请求,都会携带相同的 Cookie,服务器拿到 Cookie 进行解析,便能拿到客户端的状态。而服务端可以通过响应头中的Set-Cookie字段来对客户端写入Cookie。 应用场
一文搞懂cookiesessiontokenjwtOAuth
kobe_okok的博客
09-10 3779
一文彻底读懂cookiesessiontokenJWTOAuth
/oauth/token
qq_39256196的博客
01-24 2034
本文主要研究Spring Securitytoken获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图!
区分认证、授权、CookieSessionTokenJWTOAuth 2.0
RuiKe的博客
12-19 802
一、区分认证、授权、CookieSessionTokenJWTOAuth 2.0 1.1、认证授权 通俗理解: 认证:(你是谁)验证身份的凭据(比如用户名、密码),通过这个凭据系统知道你就是你 权限:(你有权干什么)发生在认证之后,掌管访问系统的权限 1.2、什么是Cookie?Cookie的作用? 什么是CookieCookie是某些网站为了辨别用户身份而存储在用户本地上...
谈谈session验证、JWTOauth2.0区别
xiaolong201212的专栏
05-29 482
session用户登录权限认证的时候,浏览器页面与服务器会建立cookies会话。在服务器上开辟一块内存存储会话。当用户访问量增多的情况会造成内存溢出。另外更容易造成会话认证信息被劫持的情况。 ...
前后端鉴权方式总结:HTTP Basic, Session-Cookie, Token, OAuth
"这篇文章除了介绍前后端常见的鉴权方式外,还涉及了HTTP Basic Authentication、session-cookietoken验证以及OAuth四种鉴权方法的原理流程。文章旨在总结对比不同的鉴权策略,特别是在重构项目时选择合适的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值