【前端指南】session和token

最新推荐文章于 2024-05-11 13:39:14 发布
最新推荐文章于 2024-05-11 13:39:14 发布
阅读量3.8k 收藏 13
点赞数 5
分类专栏: 专业技能基础 # 前端指南 文章标签: 前端 服务器 java cookie token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44321600/article/details/127461524
版权

文章目录

session和token

cookie

  • http请求是无状态的,第一次和服务器连接并登陆成功后,第二次请求服务器仍然不知道当前请求的用户
  • cookie出现就是解决了这个问题
    • 第一次登陆后服务器返回一些数据cookie给浏览器,然后浏览器保存在本地
    • 当用户第二次返回请求时,就会把上次请求存储的cookie数据自动携带给服务器
    • 如果关闭浏览器cookie失效,则cookie就是保存在内存中
    • 如果关闭浏览器cookie不失效,则cookie保存在磁盘中
  • 但随着数据信息越来越多,每次请求的cookie也越来越大,对每个请求来说都是一个很大的负担

session

  • 与cookie作用有点类似,都是为了存储用户相关的信息,不同的是
    • cookie存储在本地浏览器,session存储在服务器
    • 存储在服务器的数据会更加安全,不容易被窃取,但是存储在服务器又有一定的弊端,会占用服务器的资源
工作机制
  1. 用户登录,server会为用户生成一个session,为其分配唯一的sessionId,是与某个用户绑定的,根据此sessionid可以查询到他到底是哪个用户,然后将此sessionid通过cookie传给浏览器
  2. 之后浏览器的每次请求只要在cookie里面带上sessionid = xxx这一个键值对即可,server根据sessionid找到它对应的用户后,把传过来的shangpinid保存到server中对应用户的信息即可
  • cookie存储在client,session保存在server,sessionid需要借助cookie的传递才有意义
session痛点
  • 上述情况能正常工作是因为我们假设了server是单机工作,但实际在生产上,为了保证高可用,一般服务期至少需要两台机器,通过负载均衡的方式来决定到底是该打到那台机器上
    • 客户端请求后,有负载均衡器,如Nginx来决定到底打到哪台机器
  • 假设登录请求打到了 A 机器,A 机器生成了 session 并在 cookie 里添加 sessionId 返回给了浏览器,那么问题来了:下次添加购物车时如果请求打到了 B 或者 C,由于 session 是在 A 机器生成的,此时的 B,C 是找不到 session 的,那么就会发生无法添加购物车的错误,就得重新登录了,此时请问该怎么办。主要有以下三种方式
    1. session复制
      • A请求生成的session后复制到其余机器,这样每台机器都有一份session,这样无论那台机器提供服务,session都能找到不会出现问题
      • 缺点
        1. 同样一份session保存了很多份,数据冗余
        2. 节点多的话,这样节点增多复制造成的性能消耗也会很大
    2. session粘连
      • 让每个客户端请求只打到一台机器上,比如浏览器登录请求打到A机器后,后续所有的添加处理请求也打到A机器上,Nginx的sticky模块可以支持这种方式,支持按ip或cookie粘连等,若ip粘连:
        • upstream tomcats {
            ip_hash;
             server 10.1.1.107:88;
             server 10.1.1.132:80;
          }
        • Nginx以事件驱动的方式编写,所以有非常好的性能,同时也是一个非常高效的反向代理、负载平衡服务器。在性能上,Nginx占用很少的系统资源,能支持更多的并发连接,达到更高的访问效率;在功能上,Nginx是优秀的代理服务器和负载均衡服务器;在安装配置上,Nginx安装简单、配置灵活
        • Nginx支持热部署,启动速度特别快,还可以在不间断服务的情况下对软件版本或配置进行升级,即使运行数月也无需重新启动
        • 在微服务的体系之下,Nginx正在被越来越多的项目采用作为网关来使用,配合Lua做限流、熔断等控制
      • 这样每个client请求到达Nginx后,只要他的ip不变,根据ip hash算出来的值会达到固定的机器上,也就不存在session找不到的问题了,当然不难看出这种方式缺点也很明显
        • 缺点:对应机器不能工作
    3. session共享
      • 将session保存在Redis,memcached等中间件中,请求到来时,各个机器去这些中间件中取一下session即可
      • 缺点
        • 每个请求都要去Redis取一下session,多了一次内部连接,消耗了一点性能,另外为了保证Redis的高可用性,必须做集群,让然对于大公司来说,Redis集群基本都会部署,所以该方案是大公司的首选

token

  • session的存储是需要空间的,session的传输一般都是通过cookie来传输,或url重写的方式
  • token在服务器时可以不用存储用户信息的,token传递的方式也不限于cookie传递,token也可以保存起来
  • 首先请求防输入自己的用户名,密码,然后server据此声称token,客户端拿到token后会保存到本地,之后想server请求是在请求头商带上此token
  • token 只存储在浏览器中,服务端却没有存储,这样的话我随便搞个 token 传给 server 也行?
    • server 会有一套校验机制,校验这个 token 是否合法
  • 怎么不像 session 那样根据 sessionId 找到 userid 呢,这样的话怎么知道是哪个用户?
    • token 本身携带 uid 信息
token组成部分
  1. header:指定了签名算法
  2. payload:指定用户id,过期时间等非敏感数据
  3. signature:签名,server根据header直到他改用哪种签名算法,再用密钥根据签名算法对head+payload生成签名
  • 以上,一个token就生成了
  • 当server收到浏览器传过来的token时,会首先取出token中的header+payload,根据密钥生成签名,然后再与token中的签名比较
    • 与token中的签名比对,如果成功则说明签名是合法的,即token是合法的
    • payload中存有userId
    • 对已拿到token后直接在payload中就可以获取到userId,避免了向session那样要从Redis去取的开销
token总结
  • 只要server保证密钥不泄露,那么生成的token就是安全的,因为如果伪造token的话在签名验证环节是无法通过的,就此即可判定token非法
  • 这种方式有效避免了token必须存在在server的弊端,实现了分布式存储
  • 注意
    • token一旦由server生成,他就是有效的,直到过期,无法让token失效
      • 除非在server为token设立一个黑名单,在教研token前先过一遍此黑名单,如果在黑名单里则此token失效
      • 但若向上述做法,就意味着黑名单必须保存在server,这又回到session模式
    • 所以一般做法是:当客户端登出要让token失效时,直接在本地转移token计科,下次登录重新生成token
    • token一般放在header的Authorization自定义头里面,不是放在cookie中,这主要是为了解决跨域不能共享cookie的问题

cookie与token的简单总结

cookie有哪些局限性?
  1. cookie跨站是不能共享的,这样的话要实现多应用多系统的单点登录SSO,使用cookie来做需要的话就很困难->要用比较复杂的trick来实现
    • SSO单点登录,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
    • 要用token来实现SSO会非常简单,只要在header中的authorize字段-或其他自定义,加上token即可完成所有跨域站点的认证
  2. 在移动端原生请求是没有cookie之说的,而sessionid依赖于cookie,sessionid就不能用cookie来传了
    • 如果使用token的话,由于它是随着header的authorize传过来的,就不存在此问题
      • 即token天生就支持移动平台,可扩展性好

token具有存储实现简单,扩展性好的特点

token的缺点?
  1. token太长
    • token是header,payload编码后的样式,一般要比sessionid长很多,很有可能超出cookie的大小限制(cookie一般都是有大小限制的,如4kb)
    • 若果在token中存储的信息越长,那么token本身也会很长
    • 这样的话,由于每次请求都会带上token,对请求来说是个不小的负担
  2. 不太安全
    • token存在浏览器的local storage里,这样会造成安全隐患,因为local storage这类本地存储是可以被JS直接读取的
    • 另外,token一旦生产就无法让其实小,必须要等其过期才行
    • 这样,如果服务端检测到了一个安全威胁也无法使相关的token失效

token更适合一次性的命令认证,设置一个比较短的有效期

一个误解

  • cookie相比token更不安全,比如CSRF攻击
CSRF攻击
  • 攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过得网站并运行一些操作,由于浏览器曾经认证过(cookie里带来sessionid等身份认证的信息),被访问的用户会认为是真正的用户操作而去运行
  • 在这里插入图片描述- CSRF攻击的根本原因在于:对于同样域名的每个请求来说,他的cookie都会被自动带上,这个是浏览器的机制决定的
  • 使用token确实会避免CSRF的问题,但由于token存在local storage,他会被JS,读取,从存储角度来看来不安全
    • 实际上防护CSRF攻击的正确方式是用CSRF token
  • 从存储角度来看都不安全,都有暴露风险,所以我们所说的安全更多是强调传输中的安全,可以用HTTPS协议来传输,这样的话请求头都能被加密,保证了传输中的安全

cookie和token比较本身就不合理,一个是存储方式,一个是验证方式

总结

  • session和token本质上是没有区别的,都是对用户身份的认证机制,知识他们实现的校验机制不同而已
    • 一个保存在server,通过在Redis等中间件获取来校验
    • 一个保存在client,通知签名校验的方式来验证
秃头仔仔
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端面试知识点目录一览
12-08
- **cookiesessiontoken**:了解它们在用户身份验证和会话管理中的应用。 9. **ES6**: - **新特性**:如let、const、解构赋值、块级作用域等。 - **箭头函数**:理解其语法和this的处理方式。 - **模块化*...
前端项目-satellizer.zip
09-02
- `README.md`: 项目介绍、安装和使用指南。 - `package.json`: 项目依赖和构建配置。 了解如何使用Satellizer进行身份验证对前端开发者来说至关重要,因为这涉及到用户数据的安全以及Web应用的性能优化。通过这个...
如何获得session里面的数据,很简单的一行代码
weixin_44207938的博客
06-16 1359
简单获取seesion数据
前台获取后台session保存的数据
千城墨白
03-13 5420
后台保存的数据 session.setAttribute("user", name); request.setAttribute("password", password); 前台显示 欢迎session:${sessionScope.user} request:${requestScope.password}
2024年Web前端最全彻底讲清Web开发的CookieSession机制(3),2024年最新BATJ等企业Web前端面试知识分享
最新发布
2401_84617772的博客
05-11 905
除了简历做到位,面试题也必不可少,整理了些题目,前面有117道汇总的面试到的题目,后面包括了HTML、CSS、JS、ES6、vue、微信小程序、项目类问题、笔试编程类题等专题。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】除了简历做到位,面试题也必不可少,整理了些题目,前面有117道汇总的面试到的题目,后面包括了HTML、CSS、JS、ES6、vue、微信小程序、项目类问题、笔试编程类题等专题。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
前端获取后端传来的session_用java编写一个web程序,登陆后,把用户信息放在session中,前端怎样获取session的值?...
weixin_39645343的博客
01-12 3270
客户端获取服务器端数据的方式,无非两种:1. 模板类似的jsp,thymeleaf之类的,原理就是后台在输出html文本的时候直接把模板里的表达式替换。如果使用jsp就用EL和JSTL表达式,thymeleaf就用th标签。这个方式所有的操作不涉及客户端,全部在服务器端完成。2. 异步请求前端使用ajax或者fetch异步请求服务器,多用于前后端分离模式。这时需要服务器有专门的Controller...
前端架构处理CookieSessionToken
ejinxian的专栏
01-27 1172
HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据。它会在浏览器下次向同一服务器再发起请求时,被携带并发送到服务器上。通常 Cookie 用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。会话状态管理(如用户登录状态、购物车等其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)
获取sessionID的步骤
ninth_spring的博客
08-15 8560
String str = String.valueOf(value); 支付串判断为null的方法,要加双引号 " " String str = String.valueOf(value); `在这里插入代码片` if (StringUtils.isNotBlank(str) && str != "null") StringUtils.isNotBlank(str)是判断为空和为NULL的方法 在这里
前端项目-ember-simple-auth.zip
09-03
- **docs** 目录:可能包含了ember-simple-auth的API文档和使用指南,有助于开发者了解如何在项目中集成和使用这个库。 - **example** 目录(如果存在):可能是一个简单的示例应用,展示了ember-simple-auth的用法...
redmine安装指南
04-13
指南将详细介绍如何在您的服务器上安装和配置Redmine,以充分利用其功能。 **一、系统需求** 在开始安装之前,确保你的服务器满足以下基本需求: 1. 操作系统:Redmine可以在多种操作系统上运行,如Ubuntu、...
2020年前端开发应该如何准备面试(面试官角度分享).pdf
10-21
* 网络:HTTP1, HTTP2, HTTPS、浏览从输入网址到回车发生了什么、前端跨域、浏览器缓存、cookie,session, token, localstorage, sessionstorage、状态码、TCP 连接(三次握手, 四次挥手) 三、项目经验 项目经验是...
Html+Springboot前端获取session里面的值(亲测)
qq_37272886的博客
10-11 7467
好久没写前端了,都快忘完了!! 后端代码: HttpSession session = req.getSession(); session.setAttribute("loginName","用户"); 前端获取session里的值: <span th:text="${session.loginName}"></span> 希望对你有所帮助!!! ...
Html中获取session中的值(实现登录后显示欢迎xxx)
malz_zh的博客
08-10 2万+
以前都是使用jsp进行前台界面的开发,可以直接使用session,获取用户信息,在整个生命周期中都可以展示出用户信息,第一次使用HTML进行前台界面的开发,因为welcomexx是在左侧每个选项卡界面中都有的,所以登录后需要将用户信息保存到一个缓存中,是每个页面都可以获取到用户信息。 在网上有很多说是用一个过渡的servlet,但是太麻烦了,经接触公司的另一个springbo...
Session的基本使用 [JavaWeb][Servlet]
m0_57001006的博客
07-01 754
获取Session对象Session对象功能:void setAttribute(String name, Object o)Object getAttribute(String name)void removeAttribute(String name)浏览器第一次请求服务器的时候, 如果这个时候我们在后端中使用request对象调用了getSession()方法之后, 这个时候就是第一次创建了Session对象, 这个时候我们第一次创建Session对象之后我们响应数据的到前端的时候就会携带一个set-
token的处理
xg1201的博客
04-05 3812
首先在用户点击登入的时候,将用户名和密码传给服务器服务器去对用户名和密码进校验,验证通过将token返回给前端前端拿到token后,将token存储到公共的状态管理工具中也就是vuex,然后再持久化到本地也就是存到localStrong中 有了token后,我们就可以做很多的事情, 比如说: 1、在请求拦截器中我们可以把token统一注入到请求头中 2、在进行页面跳转的时候,判断有无token,如果有就去对应的页面,如果没有就跳转到登录页 3、判断token的失效,当toke...
js获取session中的值
热门推荐
c_staunch的博客
07-09 10万+
java开发工作中,session是被经常使用的,把某一对象置于session缓存内,并在jsp页面中提取session中放进去的对象是很常见的,下面一起看看:   1.获取Session中的整条数据   //后台中向Session中放入值的代码: List&lt;String&gt; list = new ArrayList&lt;String&gt;(); list.add("131...
使用js获取session里的值
LN_Polaris的专栏
10-13 5万+
今天在做到登录模块的时候,遇到了一个关于session取值的问题。在页面元素中,如果直接使用${sessionScope.user.userName}是能取到值的,类似于下图形式 但是我的页面控制需要将值在js中取到,需要在js文件中用到session中的值。此时是无法在js文件中直接取到session中的值的,只有在jsp页面能够取到值,且在jsp页面里的中也是能够取到的。 说到这里
java配合js在前台获取jsessionid
hwm的专栏
10-19 3万+
浏览器与服务器之间的每一个回话都有一个session,session id 是位置标志,在java环境中,这个session的 id 就叫做jsessionid。 可以直接中session中获取,比如String jsessionid = request.getSession.getId(); 开启一段新的回话时,服务器会把jsessionid传到浏览器,浏览器存在cookie中,
sessiontoken
05-14
SessionToken都是用于维护用户会话状态的技术。 Session是一种服务端技术,用于在服务器端存储和维护用户的会话状态。当用户通过浏览器访问服务器时,服务器会创建一个唯一的Session ID,并将其存储在cookie或URL参数中,以便在用户之后的请求中进行识别和验证。服务器可以使用Session ID来存储和检索与该用户相关的数据,这些数据可以在用户的不同请求之间共享和保留。Session可以用于实现用户登录、购物车、表单填写等功能。 Token是一种客户端技术,用于在客户端存储和传递用户的身份验证信息。当用户登录后,服务器会生成一个Token,并将其发送给客户端。客户端可以在后续的请求中通过在请求头或URL参数中传递Token来进行身份验证。服务器可以解析Token并验证其有效性,以确定请求是否来自已经登录的用户。Token可以用于实现跨域身份验证、API访问授权等功能。 总的来说,Session是在服务器端存储和维护会话状态,Token是在客户端存储和传递身份验证信息。两者都可以用于维护用户会话状态,但是在不同的场景中使用的方式不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值