Cookie、Session、Token、JWT详解

最新推荐文章于 2024-05-30 04:22:57 发布
最新推荐文章于 2024-05-30 04:22:57 发布
阅读量925 收藏 1
点赞数
分类专栏: 软件测试 文章标签: servlet 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38961318/article/details/126917462
版权

首先,Cookie的传递过程:

client发送http请求给server,server响应,并set-cookie头部信息,client保存cookie,之后的请求中服务端都会附带cookie头部信息, 使用cookie可以自动填写用户名、记住密码等。

在这里插入图片描述

 但是,用户名密码等重要隐私存在cookie中还是会有风险。所以产生了session。cookies中会保存sessionid

 Session

但是,session信息存到服务器过多会占用内存。为了提高效率,通常需要分布式做负载均衡。在认证的信息保存在内存中,用户访问那台服务器下次还得访问相同的机器才能获取授权,并且sessionid存在cookie还是会有风险,比如跨站请求伪造等

如何解决这个呢?token出现了

token不需要再存储用户信息,可以节约内存,其次,由于不存储信息,客户端访问不同的服务器也能进行鉴权,增加了拓展能力。然后token可以采用不同的加密方式进行加密,提高了安全性。

token传递过程和cokies类似,只是传递对象编程了token,用户使用用户名、密码请求服务器后,服务器生成token,再响应中返给客户端。客户端再次请求时就会带上token,服务器就可以用这个token认证鉴权。token可以解决session的问题,但是在认证token的时候还需要取数据库查询认证信息。

为了不查库直接认证,JWT出现了

JWT翻译是json web token,当用户发送带有登录详细信息的用户身份验证请求时,服务器将以JSON WEB TOKENS(JWT)的形式创建一个加密的令牌,并将其发送回客户端。当客户端收到令牌时,这意味着该用户以通过身份验证,可以使用客户端执行任何活动。

json对象存储包括:header(token)、payload传输内容、singature签名把header和payload用base64编码后再加上secrect私钥。 JWT通常存储在客户端的localstorage中

 

其他

Cookie 和 Session 的区别

  • 安全性:Session 是存储在服务器端的,Cookie 是存储在客户端的。所以 Session 相比 Cookie 安全,
  • 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
  • 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
  • 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

小雯子打豆豆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 4072
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
CookieSessionToken三者区别以及各自应用场景
qcy的博客
09-08 1505
综上所述,选择使用CookieSession还是Token取决于你的具体需求和安全要求。对于简单的状态存储和会话跟踪,通常使用CookieSession即可。对于需要更高级的安全性验证和授权控制,使用Token更为合适。具体选择哪种方法要根据你的项目需求、开发难度和安全性要求来决定。
token信息内容
最新发布
qq_56876713的博客
05-30 166
token信息主要包含三部分内容,加密的类型和加密的算法,包含的主题信息,验证的签名信息。
cookies,sessiontoken都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4074
cookies,sessiontoken都是相对安全,并不能完全防窃取
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 712
CookieSessionToken详细介绍
CookieSessionTokenJWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1099
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
详解Go-JWT-RESTful身份认证教程
01-03
JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或手写签名的的...
详解SpringCloud服务认证(JWT
08-28
【SpringCloud服务认证(JWT详解】 在微服务架构中,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其中JWT(JSON Web Token)因其独特的优势被广泛应用。JWT是一种基于JSON的开放标准(RFC 7519)...
session配置secure和httpOnly
03-16
这种情况下,需要考虑其他登录验证机制,如TokenJWT。 三、实现方式 1. 通过`web.xml`配置:在Servlet 3.0及以上版本的环境中,可以直接在`<session-config>`标签内设置`<cookie-config>`,添加`<secure>`和`...
安全的cookietoken机制
kekefen01的博客
12-16 1383
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
CookieSessionTokenJwt详解
weixin_53952534的博客
01-25 847
cookiesessiontokenjwt的区别和联系
JWT简介
weixin_45743893的博客
02-26 3854
JWT是什么? JWT是一种基于JSON的token验证标准,常用于分布式服务的单点登录。 JWT的优势 JWT不像session和redis token那样需要在服务端内存/Redis中保存数据用于鉴权,JWT无状态的,服务端不需要保存任何数据,这也意味着JWT认证机制不需要考虑用户在哪一台服务器上登录,非常适合于分布式服务。 JWT鉴权流程 用户端发送登录请求 服务端验证登录信息 验证通过,服务端生成一个token发送给用户端 用户端存储token,每次请求都在头部加上这个token 服务端验证tok
sessiontoken 比较,各自的优缺点, cookie进行存储
qq_43631129的博客
03-07 1325
sessiontoken 比较,各自的优缺点, cookie进行存储
token值 记住密码_史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析...
weixin_39883260的博客
11-29 700
用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对 Spring Security 框架提供的 RememberMe-记住我 实现逻辑进行详细讲解,剖析其实现过程。用户登录首先,在用户登录时,如果用户勾选了 记住...
【前端安全】cookietoken都存放在header中,为什么不会劫持token
热门推荐
'Ablaze 的专栏
08-05 1万+
token不是为了防止XSS的,而是为了防止CSRF的; CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token; 以CSRF攻击为例: cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作; token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作; ...
彻底搞懂CookieSessionJWTToken
qq_43842093的博客
02-27 2417
文章目录引入:http是一个无状态协议?怎么解决呢?一、CookieSession1.1 cookie 注意事项:1.2 cookie 重要的属性1.3 session 注意事项:1.4 CookieSession 的区别:二、token(令牌)2.1 token优势2.2 token 的身份验证流程三、基于JWT实现的Token认证方案3.1 JWT组成部分3.1.1 Header:标头3.1.2 Payload:有效载荷3.1.3 Payload:签名3.2 什么时候应该使用 JWT?3.3 J
cookiesessiontokenJWT的解释
鸭绒的博客
04-15 237
一、什么是Cookies? Cookies是一些数据,存储于我们电脑上的文本文件中。由于cookie多用于在客户端和服务端交互通信,所以前后端语言都可存取cookie(例如前端JavaScript,后端PHP)。当web服务器向浏览器发送web页面时,在连接关闭后,服务端不会记录用户的信息。Cookies的作用就是用于解决“如何记录客户端的用户信息” : 当用户访问web页面时,用户的名字可以记...
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的字符串,通常包含加密的用户信息和有效期限等信息。 jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值