Cookie、Session和token机制的区别
常用的会话跟踪技术是Cookie与Session
Cookie通过在客户端记录信息确定用户身份
Session通过在服务器端记录信息确定用户身份
Cookie机制
在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而
另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品
都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放入用户B或用
户C的购物车内,这不属于同一个会话。
而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客
户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上
跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行
为是属于用户A的会话还是用户B的会话了。要跟踪该会话,必须引入一种机制。
Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所
有的网站都采用Cookie来跟踪会话。
什么是Cookie
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁
发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客
户身份了。这就是Cookie的工作原理。
Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用
response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站
时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状
态。服务器还可以根据需要修改Cookie的内容。
Session机制
除了使用Cookie,Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用
的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。
什么是Session
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在
服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是
Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是
通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档
案,客户来访的时候只需要查询客户档案表就可以了。
实现用户登录
Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象,所有该客
户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的
Session也是一种key-value的属性对,通过getAttribute(Stringkey)和setAttribute(String key,
Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session
Token机制
token是用户身份的验证方式,我们通常叫它:令牌。最简单的token组成:uid(用户唯一的身份标识)、
time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符
串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库。
token是用户登录后,将登录凭证使用数字签名加密之后得到,返回给客户端,客户端同样会保存下来,
后续请求就需要带着token,服务器接收到token后,会解密来判断其有效性
一个项目中有session和token一种就可以。token不需要每次都访问数据库,比session性能更好一点,
同时token的安全性也更好
相关博客:
https://www.cnblogs.com/l199616j/p/11195667.html