cookie,session和token

最新推荐文章于 2024-04-15 13:35:05 发布
最新推荐文章于 2024-04-15 13:35:05 发布
阅读量162 收藏 1
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41229365/article/details/133153413
版权

文章目录

cookie,session和token

1.浏览器同源策略

  • 同源:协议、域名、端口相同
  • 一级二级域名不同则跨域,三四五及以下域名不同不跨域
  • 如果域名和端口都相同,但是请求路径不同,不属于跨域,如:www.jd.com/item 和 www.jd.com/goods
  • 同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互

在这里插入图片描述
一级域名和二级域名

2.cookie

  • Domain属性:

访问规则:顶级域名只能设置或访问顶级域名的Cookie,二级及以下的域名只能访问或设置自身或者顶级域名的Cookie,所以如果要在多个二级域名中共享Cookie的话,只能将Domain属性设置为顶级域名

  • Path属性:
    表示可以访问此cookie的页面路径。比如path=/test,那么只有/test路径下的页面可以读取此cookie。

  • HTTP属性:
    表示cookie的httponly属性。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。

  • Expire/Max-Age属性:
    设置Expire/Max-Age属性Cookie就存在硬盘中,否则存在内存中,浏览器关闭就失效,硬盘 Cookie 保存在硬盘里,有一个过期时间。除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。
    HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据。它会在浏览器下次向同一服务器再发起请求时,被携带并发送到服务器上。
    通常 Cookie 用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

Cookie 主要用于以下三个方面:

  • 会话状态管理(如用户登录状态、购物车等其它需要记录的信息)
  • 个性化设置(如用户自定义设置、主题等)
  • 浏览器行为跟踪(如跟踪分析用户行为等)

浏览器收到响应后通常会保存下 Cookie,之后对该服务器每一次请求中都通过 Cookie 请求头部将 Cookie信息发送给服务器。另外,Cookie 的过期时间、域、路径、有效期、适用站点都可以根据需要来指定。

跨站请求攻击(CSRF),简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了 Web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

3.Session

Session翻译为会话,服务器为每个浏览器创建的一个会话对象,浏览器在第一次请求服务器,服务器便会为这个浏览器生成一个Session对象,保存在服务端,并且把Session的Id以cookie的形式发送给客户端浏览,而以用户显式结束或session超时为结束。
我们来看看Session工作原理:
当一个用户向服务器发送第一个请求时,服务器为其建立一个session,并为此session创建一个标识号(sessionID)。
这个用户随后的所有请求都应包括这个标识号(sessionID)。服务器会校对这个标识号以判断请求属于哪个session。
对于session标识号(sessionID),有两种方式实现:Cookie和URL重写

在这里插入图片描述

Session 的实现主要两种方式:Cookie 与 URL 重写,而 Cookie 是首选方式。因为各种现代浏览器都默认开通 Cookie 功能,但是每种浏览器也都有允许 Cookie 失效的设置,因此对于 Session 机制来说还需要一个备胎。
在这里插入图片描述
在这里插入图片描述

4.Token

令牌的意思,由服务端生成并发放给客户端,是一种具有时效性的验证身份的手段。
Token 避免了 Session 机制带来的海量信息存储问题,也避免了 Cookie 机制的一些安全性问题,在现代移动互联网场景、跨域访问等场景有广泛的用途。
在这里插入图片描述
客户端将用户的账号和密码提交给服务器;
服务器对其进行校验,通过则生成一个 token 值返回给客户端,作为后续的请求交互身份令牌;
客户端拿到服务端返回的 token 值后,可将其保存在本地,以后每次请求服务器时都携带该 token,提交给服务器进行身份校验;
服务器接收到请求后,解析关键信息,再根据相同的加密算法、密钥、用户参数生成 sign 与客户端的 sign 进行对比,一致则通过,否则拒绝服务;
验证通过之后,服务端就可以根据该 Token 中的 uid 获取对应的用户信息,进行业务请求的响应。

JWT

以 JSON Web Token(JWT)为例,Token主要由三部分组成:

  • Header 头部信息:记录了使用的加密算法信息;
  • Payload 净荷信息:记录了用户信息和过期时间等;
  • Signature签名信息:根据 header 中的加密算法和 payload 中的用户信息以及密钥key来生成,是服务端验证服务端的重要依据。

在这里插入图片描述
header 和 payload 的信息不做加密,只做一般的 base64 编码。服务端收到 token 后剥离出 header 和 payload 获取算法、用户、过期时间等信息,然后根据自己的加密密钥来生成 sign,并与客户端传来的 sign 进行一致性对比,来确定客户端的身份合法性。
这样就实现了用 CPU 加解密的时间换取存储空间,同时服务端密钥的重要性就显而易见,一旦泄露整个机制就崩塌了,这个时候就需要考虑 HTTPS 了。

Token 方案的特点

Token 可以跨站共享,实现单点登录;
Token 机制无需太多存储空间。Token 包含了用户的信息,只需在客户端存储状态信息即可,对于服务端的扩展性很好;
Token 机制的安全性依赖于服务端加密算法和密钥的安全性;
Token 机制也不是万金油。

Lucifer-KH
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
二级域名之间的cookie共享
stray-heart的博客
06-25 4451
以登录cookie为例说明 1,共享之间的二级域名必须是解析于同一个顶级域名之下; 2,比如现在有两个二级域名,a.xxx.com(域名A)和b.xxx.com(域名B)。两个都解析于域名xxx.com顶级域名之下。 3,现在域名A的登录cookie域名B下面需要使用。 4,域名A的登录cookiecookie域设置成xxx.com(注意不要写成www.xxx.com,因为www.xxx.com...
网页修改token登录网站
_冷冷的博客
08-25 1750
5、把你拿到的token值放入Token对应的Value内;3、点击开发者工具的Application;4、点击开发者工具左侧Cookies;1、浏览器打开要登录的网站;2、F12点开开发者工具;
前端应该学习的 Token 登录认证知识
最新发布
2303_79056168的博客
04-15 853
技术是没有终点的,也是学不完的,最重要的是活着、不秃。零基础入门的时候看书还是看视频,我觉得成年人,何必做选择题呢,两个都要。喜欢看书就看书,喜欢看视频就看视频。最重要的是在自学的过程中,一定不要眼高手低,要实战,把学到的技术投入到项目当中,解决问题,之后进一步锤炼自己的技术。技术学到手后,就要开始准备面试了,找工作的时候一定要好好准备简历,毕竟简历是找工作的敲门砖,还有就是要多做面试题,复习巩固。有需要面试题资料的朋友点击这里可以领取。技术是没有终点的,也是学不完的,最重要的是活着、不秃。
对浏览器sessiontoken的一些理解补充
qq_38867012的博客
03-15 1939
主要补充了一点对登录验证的理解,其中部分图片来源于网络,如有侵权,请联系将立即删除 一:Session 会话管理,每位用户收到一个随机的字符串(session id),当向服务器发送请求时,携带该session id。让服务器识别用户身份。浏览器客户端大多数采用cookie的方式存储session。服务器则将session保存在临时服务器中,当用户离开网站时,session会被销毁。但是当web服务器做了负载均衡,当下一个操作请求到另一台服务器时,session会丢失。 二:Token 让服务器存储
【笔记】什么是token
weixin_43348322的博客
08-20 916
什么是token
js实现一二级域名共享cookie
cypking的博客
02-17 405
前言 最近接手的项目中 ,有人反馈了一个问题,说是在访问网站并登录后,登录成功有登录信息,但是刷新页面后重定向到了登录页面,让从新登录。 打开 goole 调试页面,查看 cookie 时发现存储的相关 token 信息不见了。 原本以为 cookie 有效期有问题,但经过排查 cookie 失效为 7 天,也没有清除 cookie 的逻辑。 经排查发现:我们在输入访问 hew.cn 的时候,...
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
域名间的session共享
weixin_30492047的博客
11-05 93
最近在做一个jsp的网站遇到了session共享的问题,下面以一个简单的实例讲解一下其中的细节及解决方法: 网站有两个域名:主域名www.test.com 二级域名xxx.test.com 1、用主域名打开网站,比如访问www.test.com/login.jsp,这时会产生一个session,并将JSESSIONID=XXXXXXXXXX保存到客户端Cookie中; 2、接着进行登陆操...
总结一下顶级域名和子级域名之间的cookie共享和相互修改、删除
weixin_33756418的博客
09-18 1656
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,这里代码以PHP为例来说明,域名的话就拿顶级域名二级域名为例,其他的场景都是类似哈! 设置COOKIE 顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成。 如yangbai.c...
浏览器同源策略
Ellie棒棒哒的博客
03-29 722
当我用ajax去访问一个Ip地址时,bingo,!跨域了
域名登录和IP登录的session问题
梁吉林的博客
04-24 6352
最近在工作中遇到了一个问题,具体实现是从A站跳到B站(taget=”_blank”)去完成一个操作,然后再从B站跳回A站指定的URL完成数据保存,事涉数据安全性问题,所以跳回A站的URL指定的方法是需要鉴权验证是否登录的。 但问题就出在这里,发现跳回A站的动作可以执行,但是跳回执行后(跳到了指定的URL)却直接返回到了A站的登录界面,鉴权失败了,未发现登录的session信息。然而此时刷新A站的登
浅谈session的domain 域名作用域
dw5235的博客
07-04 3020
前段时间不小心从svn拉下代码时更新了自己的config配置 导致session配置中多加了domain参数 倒是我本地后台一直登陆不上 令牌验证无效 之后把domain去掉就好了 因为线上的和我本地的域名不一样 ...
不同域名 共享session方案
zhazhaji的博客
10-18 1456
git笔记: https://gitee.com/thkcat/domain_session.git
域名和ip访问产生的session不同
司马永疯的博客
09-26 4569
测试环境测试支付宝支付,以ip方式访问,而支付宝支付成功后回调地址配置的是域名形式的。造成支付成功后访问成功页面进入了登录页面 同一个网站,通过域名登录和通过IP登录,所产生的session是不相同的,如果希望使用登录时的session信息,那么调用的时候需要注意与登录方式(域名还是IP)保持一致才可以。
cookie sessiontoken的区别
04-26
CookieSession是用于Web应用程序的用户状态跟踪和管理的机制,而Token则是用于身份验证和身份验证的机制。 Cookie是由服务器发送到客户端的小数据文件。 该文件通常包含一个唯一的标识符,以便将客户端与服务器上的会话关联起来。 通过使用Cookie,服务器可以存储临时数据,例如访问者的个性化设置,购物车中的物品等。 Session是Web服务器管理的一种技术,用于跟踪用户在应用程序中的会话状态。 Session使用一个唯一的标识符来关联用户的状态。 Token是一个安全凭证或证书,用于验证用户的身份。 它通常是由服务器签署,并可以在应用程序和服务之间传递,以进行身份验证和授权。 与CookieSession不同,Token通常是编码或加密的,并且可以在客户端存储,以减少服务器的压力和提高性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值