【前端】基本功,人话解释session,token,cookie。

最新推荐文章于 2024-07-17 08:42:29 发布
最新推荐文章于 2024-07-17 08:42:29 发布
阅读量144 收藏
点赞数 1
分类专栏: 总结 文章标签: HTTP session token cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44411976/article/details/100110130
版权

前言

从未整理过关于网络方面的知识,老知识了,但又十分重要,各位看官将就哈!

cookie

cookie,翻译过来就是 饼干/小甜点 的意思,cookie一种在浏览器用于存储来自不同网站的信息,cookie由键值对的形式存储,能够永久存储于浏览器的一种数据形式,因为cookie是存储于浏览器(客户端)的,所以浏览器对cookie做了一些限制确保cookie不会被恶意使用,同时又不会占据太多空间,所以每个域能够在客户端存储的cookie是有限的。

文中提到的session和token都是以cookie的形式存储在客户端的浏览器的。

session

session,会话,用于标记每个不同客户端。

首先我们要知道HTTP是一种无状态的协议,这也就意味着,每次客户端访问服务器,服务器收到的都是一个全新的请求,不知道谁是谁,等于说一次访问前后就失去了关联。

张三(客户端):你好,我是张三。												//客户端登录
李四(服务端):好的,张三,我知道你,你是我们这儿的会员,请问你需要什么帮助?		//服务端验证通过
张三(客户端):我想要查询我的个人信息。										//客户端操作(新的请求)
李四(服务端):你是谁?你还没告诉我?											//服务端提示未登录
。。。

所以session的出现了,客户端第一次请求的时候,服务端生成一串随机字符串id,给客户端一份,自己在数据库存储一份,客户端下次请求的时候带上这串id,服务端到自己数据库查找客户端带过来的id,便知道这次请求是哪个客户端发起的了。

张三(客户端):你好,我是张三。												
李四(服务端):好的,张三,我知道你,你是我们这儿的会员,这是你的门卡,下次过来请带上? 
张三(客户端):我想要查询我的个人信息。(并且交出了门卡给李四瞧一眼)							
李四(服务端):好的张三,这是你的个人信息。(服务端到自己的卡库里面查找张三给的这张纸,验证是否是之前自己发给张三过)									
。。。

session的出现,解决了HTTP无状态带来的问题,客户端舒服了,但是服务器就惨了,具体由session引发的问题在下面发展史会讲。

token

token的出现,是为了解决由于session带来的问题,一种升级版的HTTP无状态问题解决方案。

首先token是一串通过HMAC-SHA256算法加密过的字符串

一次完整的token验证流程为:

  1. 客户端首次发起请求,带上自己的独有信息(例如浏览器信息,ip地址,用户名等等)
  2. 服务端接收到请求,将客户端的带来的信息,和自己一串私有的密钥,通过HMAC-SHA256算法加密生成一串token字符串,响应的时候讲这串token字符串返回,自己不存储这串token。
  3. 客户端将token保存在自己的本地,再次发起请求的时候带上这串token。
  4. 服务端将客户端带来的独有信息,通过和自己私有的密钥,通过HMAC-SHA256算法加密生成一串token字符串,再将这串新生成的token和客户端带来的token进行比较,如果一致,则访问通过。

发展史

早期的上网模式,浏览器访问某个网站都是文档形式浏览,服务端仅仅是将客户端请求的东西返回回去,不需要记录谁再某一段时间内浏览了什么内容,所以每次HTTP请求都是一次全新的请求,服务端也不用管对方是谁,你要啥我给你啥就完事了。

随着web的发展,像购物网站,论坛等的发展,最简单的,只要是需要登录的网站,服务器必须管理会话,必须知道谁是谁,而不是你要啥我就给你啥,这时候session出现了。

你访问我,我给你一串session id,我自己备份一个,你下次过来,我对比下我自己记录的session id,我就可以知道你是谁了。

随机带来的问题也很严重:

  1. 内存开销:因为往往一个网站是有成千上万的人同时来访问,如果每个人我都要存一份session id在我这,那么对于我的服务器的存储是一个巨大的开销。
  2. 拓展限制:服务器A想拓展自己的服务器,多开一个服务器B来做负载均衡,那就是一个棘手的问题:
    1. 例如客户端小a访问服务器A,服务器A给了小a一份session id,自己存一份,小a又来发请求,但是这次请求被转发到了服务器B,服务器B并没有存储小a的session id,那么小a这时候又得重新验证。
    2. 如果每次服务器创建一个新的session id,就往自己其他的服务器复制粘贴一份,开销代价就会升高。
    3. 如果统一集中将session id都存在一个服务器,其他的服务器都来这里做验证,万一这个session服务器挂了,那么全部都挂了。
  3. 安全问题:客户端session id一旦泄露,他人便可带着这个session id来访问我的服务器,我服务器经过验证这个session id是可以通过的(之前存储过),那么便会造成了其他人冒名顶替的问题,这里有个专业名词叫CSRF(跨站请求伪造)

于是乎token横空出世,我服务器不保存这个可恶的session id,我给你个token,你下次来访问我带上token,我临时再赶紧算一下这个token对不对,对就让你过了,所以事情目前也就得到了解决方案。

小结

​ token的出现解决的大头问题的服务器端的压力,但是本质上换汤不换药(个人理解),新的验证形式罢了。

AHREAL
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue 前端显示图片加token_手摸手,带你用vue撸后台 系列二(登录权限篇)
weixin_39562579的博客
10-20 1073
完整项目地址:vue-element-adminhttps://github.com/PanJiaChen/vue-element-admin前言拖更有点严重,过了半个月才写了第二篇教程。无奈自己是一个业务猿,每天被我司的产品虐的死去活来,之前又病了一下休息了几天,大家见谅。进入正题,做后台项目区别于做其它的项目,权限验证与安全性是非常重要的,可以说是一个后台项目一开始就必须考虑和搭建的基础核心功...
Web 前端进阶—— JS 学习笔记
cccloveforever的博客
04-21 1006
原型链:简单来讲就是原型组成的链,比如函数的原型是Function,Function的原型是Object,Object 的原型仍然是Object,一直追溯到最终的原型对象。函数通过prototype来追溯原型对象,对象通过proto来追溯原型对象。通过一个构造函数创建出来的多个实例,如果都要添加一个方法,给每个实例去添加并不是一个明智的 选择。这时就该用上原型了。在实例的原型上添加一个方法,这个原型的所有实例便都有了这个方法。//B继承了A,通过原型,形成链条。
sessiontoken
anqiaoyun的博客
10-16 507
session 是什么? session:服务端技术,意为会话控制; 和 cookie 不同,session 是保存在服务器上的,而且并不会随着 http 传递;因为 cookie 保存在客户端, 还是很不安全的,服务器为了杜绝这种事情,在服务器上也搞了一个存储用户信息的东西,这就是 session。 一般用于用户的登录状态,用户 id 等敏感信息的保存; session 怎么使用? 以登录为例,...
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3893
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
前端鉴权必须了解的5个兄弟:cookiesessiontoken、jwt、单点登录
hello world!
07-20 685
原文:https://juejin.cn/post/6898630134530752520#heading-0本文你将看到:基于 HTTP前端鉴权背景cookie 为什么是最方便的存储...
JavaWeb系列7——cookiesession
做一个善良的人,做好自己的事,如果愿意,再发一份光。
07-17 929
🔥本篇概览:详细讲解了cookiesession的方方面面。🌈⭕🔥
基本功前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3633
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
谈谈前端性能优化-面试版
loveX001的博客
02-27 616
当我们去面试的时候,很大概率会被面试官问这么一个问题:你有尝试过对项目做性能优化吗?或者你了解哪些性能优化的方法?听到这个问题的你可能是这样的:似曾相识但又说不清楚,往往只能零散地说出那么几点,难以做到有条理的回答。那么,本文就带你简单了解前端性能优化的几个主要方面,旨在抛砖引玉。css的解析和js的执行是互斥的(互相排斥),css解析的时候js停止执行,js执行的时候css停止解析;无论css阻塞,还是js阻塞,都不会阻塞浏览器加载外部资源(图片、视频、样式、脚本等);
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
SessionCookieToken的关系。以及Cookie的局限性
11-30
首先,让我们来探讨SessionCookieToken的基本概念: 1. SessionSession是一种在服务器端存储用户状态的方法。当用户登录后,服务器会创建一个Session对象,存储用户的登录信息。每次用户请求时,服务器通过...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
1111111111111111111111
08-13
1111111111111111
javascript笔试题参考整理(答案)(可编辑修改word版).docx
08-13
javascript笔试题参考整理(答案)(可编辑修改word版)
财务收支表-公式计算查询.xlsx
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
集团信息化顶层规划 .pptx
最新发布
08-13
集团信息化顶层规划 .pptx
前端知识:Cookie, Session, Token与JWT的概览及差异
"前端知识Cookie, Session, Token和JWT的发展及区别" 在互联网应用中,身份验证和会话管理是核心部分,而CookieSessionToken和JWT(JSON Web Token)是实现这些功能的关键技术。本文将从背景、定义、特点、优...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值