Cookie、Session、JWT、token四者间的区别与联系

最新推荐文章于 2023-04-17 20:57:14 发布
最新推荐文章于 2023-04-17 20:57:14 发布
阅读量611 收藏 5
点赞数 1
分类专栏: Java开发 文章标签: 服务器 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39393712/article/details/125092043
版权

Cookie、Session、JWT、Token区别与联系

文章目录

http无状态请求
  • 网络通信使用http协议,每次请求之间并没有关联
访问接口需认证
  • 后端接口并不能向外部暴露,只有认证通过的请求才能够访问,常用的认证方式如:用户名密码、短信验证码,但http是无状态的,每次请求都需要进行认证;
  • 不想每次发送请求都输入用户名密码,可以将用户名密码放在浏览器当中,但这样一旦浏览器受到攻击,所有的密码都会泄露;
Cookie
  • 浏览器中有个存放Cookie的地方,Cookie里可以存放<key,value>这种键值对,也可以存放对应的有效期,和相应的访问域名地址,用户访问该域名时,就拿到这里对应的cookie;
  • 当用户第一次拿用户名密码访问建立请求后,服务端可以将用户名密码放在cookie当中,浏览器下次再使用时,就可以直接登录,但这样无异于裸奔,非常不安全;
Session
  • 服务器内存中存放客户端状态信息,客户端访问后,建立一个唯一标识session_id和其他相应信息,存放在本地中,并且将这个session_id放到返回的cookie当中,传回给浏览器;浏览器下次访问该服务时,就直接拿session_id作为标识,服务器中与存储的session_id进行比对;当服务器中的session_id有效期到了,对应的就过期了,如果用户退出,浏览器中的cookie也相应的删除
JWT

  • JWT(Json web token)由三部分组成:

    • Header :描述 JWT 的元数据。定义了生成签名的算法以及 Token 的类型。
    • Payload(负载):用来存放实际需要传递的数据
    • Signature(签名):服务器通过Payload、Header和一个密钥(secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

  • 用户登录后,服务端生成JWT,将一些不敏感的信息放在JWT的Payload当中,传回给用户;

  • 用户下次登录时拿JWT作为自己的身份信息,直接登录;但这样JWT由用户控制,在其未失效之前,服务端对其没有控制权限;

Token
  • 一段不携带具体信息的字符串,将用户信息存放在Redis或Mysql等内存当中,Token作为其key
  • 用户登录,将Token返回给用户,每次登录后先通过token读取用户信息,然后在进行校验等;
Refresh Token
  • Token具有时效,Refresh Token实效稍长,Token失效后,用Refresh Token刷新Token,保持Token的延续性
三个问题:

  • Cookie作为客户端存储、session作为服务端存储,将Session_id作为客户端与服务端的关联,客户端通过Session_id验证自己的登录状态;Cookie(用户名+加密密码)与JWT如此之像;Cookie/session与token如此之像,他们最主要的区别是什么?

  • Session存储在单个服务器当中,当用户同时在线量多是,Session会占用较多的内存;而且当网站采用集群部署时,多台服务器之间需要共享用户登录态。那将Session放到mysql中存放不就解决了吗?

  • Cookie会有跨域问题,token不存在跨域问题,那为何不将Cookie当成token一样使用?

魏云舒
关注
专栏目录
cookiesessionToken区别JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 421
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
cookiesessiontoken
ABCFF12333的博客
06-12 485
cookiesession都是用来跟踪用户身份的会话方式。 二、工作原理: 1.Cookie的工作原理 (1)浏览器端第一次发送请求到服务器端 (2)服务器端创建Cookie,该Cookie中包含用户的信息,然后将该Cookie发送到浏览器端 (3)浏览器端再次访问服务器端时会携带服务器端创建的Cookie (4)服务器端通过Cookie中携带的数据区分不同的用户 ...
彻底理解cookiesessiontoken
weixin_30535043的博客
07-09 808
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话...
sessiontokenjwt、oauth2几个概念详解
liuerchong的博客
03-11 750
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地...
详解 CookieSessionToken
weixin_34060741的博客
06-13 224
本文首发于个人博客 前言 无状态的HTTP协议 很久很久之前, Web基本都是文档的浏览而已。既然是浏览, 作为服务器, 不需要记录在某一段时里都浏览了什么文档, 每次请求都是一个新的HTTP协议,就是请求加响应。不用记录谁刚刚发了HTTP请求, 每次请求都是全新的。 如何管理会话 随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登...
Cookie,Session,Token
weixin_47414034的博客
05-14 1532
当浏览器发送 HTTP 请求到服务器时,服务器会响应客户端的请求,但当同一个浏览器再次发送请求到该服务器时,服务器并不知道它就是刚才那个浏览器 通常情况下,用户通过浏览器访问 Web 应用时,服务器都需要保存和跟踪用户的状态。例如,用户在某购物网站结算商品时,Web 服务器必须根据请求用户的身份,找到该用户过往所购买的商品 由于 HTTP 协议是无协议的,无法保存和跟踪用户状态,所以需要其他的方案来解决问此题,它就是会话技术。 什么会话?从打开浏览器访问某个网站,到关闭浏览器的过程,称为一次会话会话
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
JWT与传统Token的主要区别在于JWT是自包含的,不需要额外查询数据库验证,而传统Token通常需要。 总结来说,CookieSessionJWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session...
CookieSessionTokenJWT
最新发布
07-21
CookieSessionTokenJWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
Session , Cookie, Token
code_lab
06-07 1043
Session , Cookie, Tokenhttp为无状态协议,用户的登录状态无法通过协议层面保存下来,因此一般使用icookie管理session一个cookie的设置以及发送过程安全手段:cookie和表头其他字段共同管理session 你可能会说,居然攻击者能获得有效的session id,那么以他的水平,伪造一个相同的User-Agent不是件难事。不错,但是我们可以说这至少给他添加了
稳了!这才是cookiesessiontoken的真正区别
热门推荐
javaQQ561487941的博客
04-26 1万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时很嗨皮。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
cookiesession、tooken
伟庭的博客
07-01 2986
cookiesession、tooken
Cookie,Session,Token详解
q123q9的博客
03-16 2686
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时,存在时是长期的。 同时HTTP Cookie服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这三个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie
搞懂Cookie Session Token 是什么
quitv的博客
08-10 201
一.起源 18世纪: 浏览文档和产品的展示,静态页面,每次请求多是一个http请求 。 19-20世纪: 交互式web系统 ,需要登录,面临一个问题,那些热在自己的购物车里面加入了商品,需要把每个人做的动作区分,因为http请求是无状态的 。 1.Cookie cookie是缓存吗? No 什么是cookie ? cookie服务器产生的,保存在客户端的。 cookie的本质是保存在客户端的一个文本信息,格式是字典,键值对。 cookie的名称是由开发自定义的 。 cookie 的分类 会话级coo
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2780
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
cookie,session,token学习
pwk945的专栏
12-03 1367
起因 工作中开始接触用户模块,但是本人web基础巨烂无比,因此google了一下,结合现有业务理解了下cookie,session,token的概念。 转载:http://www.v2ex.com/t/80003 binux的回答,是我看到最简单的解释 说那么多tokensession的。叫token的多了去了,这些概念都是伪的。 对于HTTP协议来说,就是url,header,body
cookiesessiontoken是什么
hangge_的博客
03-29 324
1.cookie是持久化操作 维持登陆状态2.Session 就是在一次会话中解决2次HTTP的请求的关联,让它们产生联系,让2两个页面都能读取到找个这个全局的session信息。session信息存在于服务器Session服务器在和客户端建立连接时添加客户端连接标志,最终会在服务器软件(Apache、Tomcat、JBoss)转化为一个临时Cookie发送给给客户端,当客户端第一请求时服务器...
彻底理解 CookieSessionToken
PureUnicorn的博客
12-07 748
彻底理解 CookieSessionToken 文章目录彻底理解 CookieSessionToken发展史CookieSessionTokenToken的起源基于服务器的验证基于服务器验证方式暴露的一些问题基于Token的验证原理Tokens的优势无状态、可扩展安全性可扩展性多平台跨域 发展史 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时...
JWT详解:与Cookie, SessionToken区别及其安全挑战
本资源是一份关于CookieSessionTokenJWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值