Cookie、Session和token机制的区别

Cookie、Session和token机制的区别

常用的会话跟踪技术是Cookie与Session

Cookie通过在客户端记录信息确定用户身份

Session通过在服务器端记录信息确定用户身份

Cookie机制

在程序中，会话跟踪是很重要的事情。理论上，一个用户的所有请求操作都应该属于同一个会话，而

另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品

都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用

户C的购物车内，这不属于同一个会话。

而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕，客

户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上

跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行

为是属于用户A的会话还是用户B的会话了。要跟踪该会话，必须引入一种机制。

Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前，基本上所

有的网站都采用Cookie来跟踪会话。

什么是Cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。怎么办呢？就给客户端们颁

发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客

户身份了。这就是Cookie的工作原理。

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用

response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站

时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状

态。服务器还可以根据需要修改Cookie的内容。

Session机制

除了使用Cookie，Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用

的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

什么是Session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在

服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是

Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是

通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档

案，客户来访的时候只需要查询客户档案表就可以了。

实现用户登录

Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象，所有该客

户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的

Session也是一种key-value的属性对，通过getAttribute(Stringkey)和setAttribute(String key，

Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session

Token机制

token是用户身份的验证方式，我们通常叫它：令牌。最简单的token组成:uid(用户唯一的身份标识)、

time(当前时间的时间戳)、sign(签名，由token的前几位+盐以哈希算法压缩成一定长的十六进制字符

串，可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token，避免多次查库。

token是用户登录后，将登录凭证使用数字签名加密之后得到，返回给客户端，客户端同样会保存下来，

后续请求就需要带着token,服务器接收到token后，会解密来判断其有效性

一个项目中有session和token一种就可以。token不需要每次都访问数据库，比session性能更好一点，

同时token的安全性也更好

相关博客：

https://www.cnblogs.com/l199616j/p/11195667.html