Cookie、Session和Token

已于 2023-04-10 17:29:30 修改
阅读量681 收藏 2
点赞数 1
分类专栏: 计算机网络 文章标签: 前端 服务器
于 2022-12-05 18:36:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44479862/article/details/128190137
版权

目录

前言

Session

有了 Cookie 为什么还要 Session?

Cookie和Session的区别

Token

前言

HTTP 是一种无状态协议。因为HTTP底层是TCP,是一个长连接,这个过程中是保持连接状态的。在这个连接过程中,客户端可以向服务器发送多次请求各个请求之间没有什么联系。每次服务器接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录

客户端请求服务器时,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie并在响应中带有Set-Cookie报头。而客户端浏览器会把Cookie保存起来。当浏览器再请求服务器时浏览器把请求的网址连同该Cookie一同提交给服务器服务器通过检查该Cookie来获取用户状态

  • Session Cookies:会话 Cookie 存储在内存中,永远不会写入磁盘,当浏览器关闭时,此后 Cookie 将永久丢失。
  • Persistent Cookies:Cookie 包含有效期,则将其视为持久性 Cookie。在到期指定的日期,Cookie 将从磁盘中删除。

使用 cookie 时存在的问题:

  • 不安全,不要存储敏感数据,比如用户密码,账户余额,因为存储在客户端,容易被客户端篡改,使用前需要验证合法性;
  • 能存储的数据量不能超过 4kb
  • 有数量限制,一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放 300 个Cookie;
  • 移动端对 cookie 的支持不是很好,而 session 需要基于 cookie 实现,所以移动端常用的是 token;
  • cookie为不可跨域的:每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用;

Session

session 是另一种记录服务器和客户端会话状态的机制。session 是基于 cookie 实现的,session 存储在服务器端,可以理解为一个状态列表,他拥有一个唯一识别符号sessionId,通常存放于cookie中。

session认证流程:

  • 首先,浏览器客户端会发送一个http请求到服务器端;
  • 服务端接收请求后,创建对应的 session,并发送一个http响应到客户端,这个响应头中就包含 Set-Cookie 头部。该头部包含了sessionId
  • 浏览器接收到服务端返回的 sessionId 后,将信息存入 cookie,同时cookie记录此 SessionID 属于哪个域名;
  • 当用户第二次发起请求时,请求会自动判断此域名下是否存在 Cookie 信息,如果存在浏览器会自动在请求头中添加 cookie 发送到服务端;
  • 服务端接收请求,会从 Cookie 中获取 sessionId,再根据 sessionId 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作;

使用 session 存在的问题:

  • session 存储在服务器里面,这些 session 会占据较多的内存,需要在服务端定期的去清理过期的 session
  • 移动端对 cookie 的支持不是很好,而 session 需要基于 cookie 实现,所以移动端常用的是 token
  • 扩展性不好:例如互联网公司为了可以支撑更大的流量,后端往往需要多台服务器共同来支撑前端用户请求,那如果用户在 A 服务器登录了,第二次请求跑到服务 B 就会出现登录失效问题。

有了 Cookie 为什么还要 Session?

  • 使用 session 只需要在客户端保存一个 sessionId,实际上大量数据都是保存在服务端。如果全部用 cookie,数据量大的时候客户端是没有那么多空间的( 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie)。
  • 全部在客户端保存服务端无法验证,这样伪造和仿冒会更加容易
  • 全部保存在客户端,那么一旦被劫持,全部信息都会泄露;
  • 客户端数据量变大,网络传输的数据量也会变大;

Cookie和Session的区别

  • 存储位置不同cookie 数据存放在客户的浏览器上session 数据放在服务器上;
  • 安全性不同cookie 不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session
  • 存取值的类型不同cookie 只支持存字符串数据session 可以存任意数据类型
  • 有效期不同cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,session 一般失效时间较短,客户端关闭或者 session 超时都会失效。
  • 存储大小不同:单个 cookie 保存的数据不能超过 4Ksession 可存储数据远高于 cookie;

Token

token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个令牌,当用户第一次登录后,服务器生成一个token便将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可无需再次带上用户名和密码,减轻服务器的压力。

Json Web Token

由于cookie和session都是不支持跨域请求的,因此此处引入了,JWT(Json Web Token)。

JSON Web Token 入门教程 - 阮一峰的网络日志

参考:
五分钟搞懂 Session、Cookie和Token - 掘金
聊一聊session和cookie - 掘金
Cookie和Session详解 - 掘金
看完这篇 Session、Cookie、Token,和面试官扯皮就没问题了 - 掘金

oywLearning
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Android管理cookie,Android中的cookie管理简介
weixin_39775106的博客
05-25 1995
先看看cookie可能存放的位置1.Httpclient会存储当次请求的cookie内容,存储位置在 httpClient.getCookieStore 但是apache建议自定义cookie存储方式,因为cookiestore把cookie放在arraylist里很容易被系统回收[1]。2.WebView会存储cookieCookieManager,具体使用方式,后续的文章会讲这里不是重点。正...
android之cookie
and_caicai的博客
08-19 571
1 . 什么是Cookie Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自
CookieSessionToken 你真的懂了吗
weixin_45743816的博客
05-02 847
我们以登录为场景来分析这三个机制的流程。 使用Cookie: 用户输入凭据后登录成功,服务端将凭据以Cookie的形式返回给客户端也就是浏览器 浏览器保存Cookie,以后每次发请求的时候带上Cookie就可以了,这样用户就不需要每次都输入凭据,也就解决了HTTP无状态的问题,方便了用户。 优点如下: 1 将数据保存到客户端,减轻了服务端的压力。 2 解决了HTTP的无状态,方便了用户 缺点如下: 1 每个特定了域名下最多生成20个Cookie 2 有被CSRF攻击的危险。 举例: 用户在登录A网站www.
浏览器Cookie详解
热门推荐
huangpb的博客
10-15 2万+
一、了解 Cookie Cookie最开始被设计出来是为了弥补HTTP在状态管理上的不足。HTTP协议是一个无状态协议,客户端向服务器发请求,服务器返回响应,故事就这样结束了,但是下次发请求如何让服务端知道客户端是谁呢?这种背景下,就产生了Cookiecookie 存储在客户端: cookie服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。因此,服务端脚本就可以读、写存储在客户端的cookie的值。 cookie 是不可跨域...
移动客户端与服务端Session那点秘密
aa18038600931的博客
04-28 443
  众所周知,做过Web开发的小伙伴可能知道,在浏览器向服务器发一个请求,服务器端会为当前的访问者创建一个session会话,随着浏览器的关闭而会话结束。但是移动客户端咋整呢(IOS/Android啥的)。鄙人研究了一番,发现IOS/Android用原生接口发请求最大滴特点是每一次建一个会话,这样登录功能也就基本废了。登录功能的意义是将用户身份验证成功的信息存储在session里,结果每...
2023前端面试题及答案整理(浏览器)
suli77的博客
02-08 1万+
2023前端面试题及答案整理(浏览器)
tokensessioncookie的一些理解以及移动端的验证流程来保证相对安全
qq_41103091的博客
07-25 1819
tokensessioncookie的一些理解移动端token来保证安全
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
浏览器缓存、本地存储、CookieSessionToken
luemeon的博客
11-24 909
=
cookiesession、JWT(Json Web Token) 的区别?
西瓜的博客
05-18 672
web开发中cookiesession、JWT(Json Web Token) 的区别?
android移动端与服务端通信保持Session会话
Java
07-28 4266
移动端在向服务器请求登录并且登录成功的时候,服务器的订单接口需要获取当前登录的Session,才能够以当前用户身份下单,与web端不同,移动端Session不会自动保存到web端,每次请求都认为是一次新的请求。因此在移动端只要获取到当前登录的Session并且记录下来,在之后的请求中将该Session作为请求头就能够在之后的请求中保持同一个会话(好像Session是有时效的)。 publi......
CookieSessionToken、JWT分别是什么(四)
qfzhaohan的博客
11-19 1906
常见问题 使用 cookie 时需要考虑的问题 因为存储在客户端,容易被客户端篡改,使用前需要验证合法性 不要存储敏感数据,比如用户密码,账户余额 使用 httpOnly 在一定程度上提高安全性 尽量减少 cookie 的体积,能存储的数据量不能超过 4kb 设置正确的 domain 和 path,减少数据传输 cookie 无法跨域 一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放 300 个Cookie 移动端cookie 的支持不是很好,而 session
移动终端与服务端维持会话方式
pioneer的专栏
02-26 3061
手机客户端与服务器端的通信,不同于浏览器与服务器端的通信。浏览器和服务器端的通信依靠session去维持一个会话, 当这一切搬到手机上仿佛一切都失效了。 1.在上一家公司的时候公司同事曾经问过我这个问题, 我当时想的解决办法是通过将sessionID附加到网址后面,或者放到hearder头中,维持会话。 2.或者干脆不维持会话,每次请求都通过签名认证,调用接口,拿数据。当然这样的效率肯
java 移动端session失效,Session is invalid
weixin_42417886的博客
01-22 3100
场景,移动端重复登录,同一个设备(这里是用pc端浏览器模拟)第一个人登录后,第二个人登录。 实现,显示第二个人的数据信息,不能串号。类似顶下去了。所以我先把第一个人的session干掉,再创建新的session,再往新的session里面放第二个人的参数,顶号成功。 因为发布的应用采用了session分布式,所以在用pHttpSession.invalidate();该方法时, pLoginsta = reuquest.getSession(true).getAttribute(“loginsta”); 这
前端】数组的常用处理函数
最新发布
lcukyNwa的博客
04-22 471
item------->每个元素值 (必)index----->索引(可选)arr-------- >当前数组(可选)推荐vscode的一款插件来写以下的demo,该插件可以直接在js文件中显示结果,搜 Quokka.js用这个插件去新建一个js文件,直接就运行在node上了forEach不会返回一个新的数组,里面改值会影响原数组,其他方法不影响原数组map可以返回新数组 用于映射,如每个元素都加倍或执行其他转换操作every返回一布尔值,需数组中全部满足。
cookie sessiontoken的区别
04-26
CookieSession是用于Web应用程序的用户状态跟踪和管理的机制,而Token则是用于身份验证和身份验证的机制。 Cookie是由服务器发送到客户端的小数据文件。 该文件通常包含一个唯一的标识符,以便将客户端与服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值