cookie、session、token、JWT

最新推荐文章于 2024-04-11 08:54:15 发布
最新推荐文章于 2024-04-11 08:54:15 发布
阅读量645 收藏 1
点赞数
分类专栏: web安全测试 文章标签: session cookie jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42728957/article/details/107086067
版权 
   HTTP是无状态的协议,就是说他对事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息。每个请求都是完全独立的,服务端无法确认当前访问者身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。
     所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我?),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自于同一个浏览器,而这个状态需要通过cookie或者session去实现。

cookie

cookie是一种记录服务器和客户端会话状态的机制
cookie存储在客户端(本地的缓存文件夹中):cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

session

session也是一种记录服务器和客户端状态的机制
session是基于cookie实现的,session存储在服务端,sessionId存储在客户端的cookie中。
在这里插入图片描述
session认证流程:
1、浏览器第一次发送请求时,服务器自动生成了Session(用户会话所需的属性及配置信息),并且生成了Session ID来唯一标识这个Session,并将其通过响应发送到浏览器。
2、浏览器第二次发送请求会将前一次服务器响应中的Session ID放在请求的Cookie中一并发送到服务器上
3、服务器从请求中提取出Session ID,并和保存的所有Session ID进行对比,找到这个用户所对应的Session,从而知道了用户的登录信息。

cookie与session的区别

1、安全性不同:session比cookie安全,session存储在服务端的,cookie是存储在客户端的
2、存取的类型不同:cookie只支持存字符串数据,想要设置其他类型的数据,需要将其转化成字符串,session可以存任意数据类型。
3、效期不同:Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
4、存储大小不同:单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源,因此选用cookie还是session技术,更多取决于你自身系统的需求。

Token

token:token是服务端生成的用于验证用户登录状态的加密数据,和用session验证差不多。只不过token验证服务器端不需要存储用户会话所需的配置等数据。只需要后端将token验证进行验证签名,然后再发给浏览器。所以,使用token进行验证,在一次会话中,token值是不变化的,这个session一样。
在这里插入图片描述
1、客户端使用应户名、密码登录
2、服务端收到请求后,去验证用户名和密码
3、验证成功后,服务端会签发一个token并把这个token发送给客户端
4、客户端收到token后,会把它存储起来,比如放在cookie里或localstorage里
5、客户端每次向服务端请求资源的时候需要带着服务端签发的token
6、服务端收到请求,然后验证客户端请求里面带的token,如果验证成功,就向客户端返回请求的数据。

refresh token

如果没有refresh token,也可以刷新access token,但每次刷新都要用户输入登录用户名和密码,会很麻烦,当token过期后,可在客户端直接用refresh token去更新access token获取新的token

Token和session的区别

1、session是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息;而token是令牌,访问资源接口(api)时所需要的资源凭证。token使服务端无状态化,不会存储会话信息。
2、一个系统中拥有session和token并不矛盾,作为身份认证token的安全性比session好,因为每一个请求都有签名还能防止监听以及重放攻击,而session就必须依赖链路来保证通讯安全。如果你需要实现有状态的会话,仍然可以增加session在服务端保存一些状态。

JWT

JWT就是token的一种实现形式,通过在客户端存储payload来降低服务端压力。
1、JSON Web Token(简称JWT)是目前最流行的跨域认证解决方案
2、JWT是一种认证授权机制
3、JWT是为了在网络应用环境间传递声明而执行的一种基于JSON开放标准(RFC 7519)
用点号分为三段,分别表示头部Header、负载Payload、签名signature
4、JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。
5、可以使用HMAC算法或者RSA的公私钥对JWT进行签名。因为数字签名的存在。这些传递信息是可信的。

JWT原理

在这里插入图片描述

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

Token和JWT的区别

相同:
1、都是访问资源的令牌
2、都可以记录用户的信息
3、都是使服务端无状态化
4、都是只有验证成功后,客户端才能访问服务端上受保护的资源
区别:
1、token:服务端验证客户端发送过来的token时,还需要查询数据库获取用户信息,然后验证token是否有效
2、JWT:将token和payload加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验)
参考:https://blog.csdn.net/ITBigGod/article/details/106993176?utm_medium=distribute.pc_feed.362360.nonecase&depth_1-utm_source=distribute.pc_feed.362360.nonecase

橘子就酱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt token 过期刷新_替换JWT
@涂涂博客
09-15 2529
问题: 为了安全,很多人都知道token长期保持不变不安全,通常会采取刷新token的机制。当是当下,很多刷新机制是为了刷新而刷新,常见的token刷新机制是:到期后刷新,或是提前刷新,或者定时刷新。如果token被盗,黑客和合法用户都可以通过刷新来获取新的token,这并没带来实际的安全提升。: 方案: 每个token有一个较长的有效期,比如90天,这个是为了满足长期登录的需求; 每个token有一个较短的刷新间隔,比如2个小时。常常更换token 提升安全性; 每当token刷新时,创建并颁
深入理解token的作用
char56789的博客
11-08 2331
概要:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要使用token呢? 因为它能有如下的作用: 1.Token 完全由应用管理,所以它可以避开同源策略 2.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) 3.Token 可以是无状态的,可以在多个服务间共享 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求
token机制详说
Blue
03-09 2108
token机制详说
安全开发 | 如何让Django框架中的CSRF_Token的值每次请求都不一样
weixin_30312659的博客
10-12 418
前言 用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景,但美中不足的是,其生成的csrf_token在一个session周期中是不变,这对于一些特定的业务场景,显然有点遗憾。 为了弥补这个遗憾,本文...
Token 认证的来龙去脉
weixin_33777877的博客
11-06 549
不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免CSRF 攻击 Token...
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
再一次,CookieSessionTokenJWT.xmind
02-05
再一次,CookieSessionTokenJWT.xmind
CookieSessionTokenJWT
07-21
CookieSessionTokenJWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
Cookie通常用于存储用户会话信息,依赖服务器的Session存储,而JWT则将这些信息包含在Token中,减少了服务器的负担。与Cookie相比,JWT是无状态的,更适合于微服务架构,但不适用于需要服务器维持状态的情况。JWT与...
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
Token的作用及原理
StarFishing
12-12 1万+
Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要用 Token? 要回答这个问题很简单,因为它能解决问题! Token 能解决哪些问题呢?有如下几点: Token 完全由应用管理,所以它可以避开同源策略。 Token 可以避免 CSRF 攻击(ht...
sessiontokenJWT的一文详细介绍
weixin_45709829的博客
04-06 1539
一、认证Authentication 认证就是验证当前用户的身份,证明身份 认证的应用 用户密码登录 邮箱发送登录链接 手机号接收验证码 二、授权Authorization 授权就是用户授予第三方应用访问用户某些资源的权限 授权的应用 手机第三方app询问是否授权(访问相册、地理位置等权限) 访问微信小程序,登录的时候会询问是否允许授权(获取昵称、头像、地区、性别等个人信息) 实现方式 cookie session token 三、凭证Credentials 实现认证和授权的前提是
一文详解Token,Session,CookieJWT的区别
loseyourself94的博客
04-06 677
一文详解Token,Session,CookieJWT的区别
授权认证CookieSessionToken、JW技术概述
最新发布
LiuCJ_20000的博客
04-11 988
Session就是一个存储于服务器的特殊对象,通过session可以实现数据共享,session有一个JSESSIONID,这个是session的唯一标识,使用它可以查找到sessionsession是会话级别的,对于每一个客户端来说是独享它所拥有的session的,我们使用session在进行页面跳转时,服务端可以利用session进行数据共享。session由服务器进行控制。session的创建和销毁都是服务器进行管理的。服务器会为每一个客户端创建一个session
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 711
CookieSessionToken详细介绍
如何解决前后端token过期问题
时光冉冉,我们都在变
03-17 6万+
问题描述: 首先后端生成的token是有时限的,在一段时间后不管前端用户是否进行了访问后端的操作,后端的token都会过期,在拦截器阶段就会返回错误的请求:token过期,从而拿不到想要的请求数据. 解决思路: 每隔一段时间的后端请求中都将token传送过去获取新的token并返回前端放入cookies中并记录cookie的存储失控,达到更新cookietoken的效果;而长时间不做操作的话我...
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的字符串,通常包含加密的用户信息和有效期限等信息。 jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值