sessionStorage、localStorage 、cookies、token、session、jwt区别

已于 2022-05-17 16:37:09 修改
阅读量792 收藏 6
点赞数 3
分类专栏: http 浏览器 文章标签: 浏览器缓存
于 2021-05-08 14:18:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44730897/article/details/116520002
版权

文章目录

cookies、sessionStorage、localStorage 的区别

Cookie、SessionStorage、 LocalStorage都是浏览器的本地存储。
它们的共同点:都是存储在浏览器本地的
它们的区别:
1、cookie是由服务器端写入的,而SessionStorage、 LocalStorage都是由前端写入的
2、cookie的生命周期是由服务器端在写入的时候就设置好的,LocalStorage是写入就一直存在,除非手动清除,SessionStorage是页面关闭时就会自动清除。
3、cookie的存储空间比较小大概4KB,SessionStorage、 LocalStorage存储空间比较大,大概5M。
4、Cookie、SessionStorage、 LocalStorage数据共享都遵循同源原则,

  • 不同浏览器无法共享localStorage和sessionStorage的值。
  • 相同浏览器下,并且是同源窗口(协议、域名、端口一致),不同页面可以共享localStorage,Cookies值,通过跳转的页面可以共享sessionStorage值,用链接新打开的不可以。
    可以限制 cookies 只属于某个路径下;

5、在前端给后端发送请求的时候会自动携带Cookie中的数据,但是SessionStorage、 LocalStorage不会
6、由于它们的以上区别,所以它们的应用场景也不同,Cookie一般用于存储登录验证信息SessionID或者token,LocalStorage常用于存储不易变动的数据,减轻服务器的压力,SessionStorage可以用来检测用户是否是刷新进入页面,如音乐播放器恢复播放进度条的功能。

Cookie

作用:

HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过
cookie 或者 session 去实现。

cookie 存储在客户端:

cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

cookie 是不可跨域的

每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。

cookie 重要的属性

name=value : 键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型 - 如果值为 Unicode 字符,需要为字符编码。- 如果值为二进制数据,则需要使用 BASE64 编码。

domain : 指定 cookie 所属域名,默认是当前域名

path : 指定 cookie 在哪个路径(路由)下生效,默认是 ‘/’。如果设置为 /abc,则只有 /abc 下的路由可以访问到该 cookie,如:/abc/read。

maxAge : cookie 失效的时间,单位秒。如果为整数,则该 cookie 在 maxAge 秒后失效。如果为负数,该 cookie 为临时 cookie ,关闭浏览器即失效,浏览器也不会以任何形式保存该 cookie 。如果为 0,表示删除该 cookie 。默认为 -1。- 比 expires 好用。

expires : 过期时间,在设置的某个时间点后该 cookie 就会失效。一般浏览器的 cookie 都是默认储存的,当关闭浏览器结束这个会话的时候,这个 cookie 也就会被删除

secure : 该 cookie 是否仅被使用安全协议传输。安全协议有 HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效。

httpOnly : 如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还是能通过 Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全

cookie 的有效时间设置为 0 会怎么样?

  • Cookie过期时间设置为0,表示跟随系统默认,其销毁与Session销毁时间相同,即都在浏览器关闭后的特定时间删除。
  • 如果我们不设置Cookie的有效时间,那么,Cookie的有效时间等效于会话时间。

Session

  • session 是另一种记录服务器和客户端会话状态的机制

  • session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中

  • session 认证流程:

用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session
请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器
浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名
当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。

SessionID 是连接 Cookie 和 Session 的一道桥梁

  • Cookie 和 Session 的区别

安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。

存取值的类型不同: Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。

有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。

存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

只要关闭浏览器 ,session 真的就消失了?

不对。对 session 来说,除非程序通知服务器删除一个 session,否则服务器会一直保留,程序一般都是在用户做 log off
的时候发个指令去删除 session。
然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分
session 机制都使用会话 cookie 来保存 session id,而关闭浏览器后这个 session id
就消失了,再次连接服务器时也就无法找到原来的 session。如果服务器设置的 cookie
被保存在硬盘上,或者使用某种手段改写浏览器发出的 HTTP 请求头,把原来的 session id
发送给服务器,则再次打开浏览器仍然能够打开原来的 session。 恰恰是由于关闭浏览器不会导致 session 被删除,迫使服务器为
session 设置了一个失效时间,当距离客户端上一次使用 session
的时间超过这个失效时间时,服务器就认为客户端已经停止了活动,才会把 session 删除以节省存储空间。

Token

简单 token 的组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)

token 的身份验证流程:

  • 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage 里,
  • 客户端每次向服务端请求资源的时候需要带着服务端签发的 token 服务端收到请求,然后去验证客户端请求里面带着的 token,如果验证成功,就向客户端返回请求的数据

每一次请求都需要携带 token,需要把 token 放到 HTTP 的 Header 里

基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据,token中自己保留有大量信息,服务器没有存储这些信息,用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库,但是也需要查数据库,验证token 是否有效

token 完全由应用管理,所以它可以避开同源策略

JWT(JSON Web Token)

可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。

JWT 认证流程:

  • 用户输入用户名/密码登录,服务端认证成功后,会返回给客户端一个 JWT 客户端将 token 保存到本地(通常使用localstorage,也可以使用 cookie)
  • 当用户希望访问一个受保护的路由或者资源的时候,需要请求头的 Authorization字段中使用Bearer 模式添加 JWT,
  • 服务端的保护路由将会检查请求头 Authorization 中的 JWT信息,如果合法,则允许用户的行为

因为 JWT 是自包含的(内部包含了一些会话信息),因此减少了需要查询数据库的需要 因为 JWT 并不使用 Cookie 的,所以你可以使用任何域名提供你的 API 服务而不需要担心跨域资源共享问题(CORS)

Token 和 JWT 的区别

相同:

  • 都是访问资源的令牌
  • 都可以记录用户的信息
  • 都是使服务端无状态化
  • 都是只有验证成功后,客户端才能访问服务端上受保护的资源

Token: 服务端验证客户端发送过来的 Token 时,还需要查询数据库获取用户信息,然后验证 Token 是否有效。

JWT: 将 Token 和 Payload 加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,不需要查询或者减少查询数据库,因为 JWT 自包含了用户信息和加密的数据。

前端同学
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
JWT学习笔记
01-21
2. 服务器端将Token作为登录成功的返回结果返回给客户端,客户端可以将返回的结果保localStoragesessionStorage上。 3. 客户端在每次请求时将Token放入HTTP头部中的Authorization位,以便服务器验证用户的身份...
cookie session token jwt 单点登录 localstorage sessionstorage
qq_41867900的博客
09-27 541
文章内容简介: cookie session token jwt 单点登录 localstorage sessionstorage HTTP是无状态的,但有时候需要维护用户的状态,这里就需要用到前端储,下面会对几种常见的方式进行介绍。 1. cookie 1.1 cookie的定义 HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。 1.2 cookie的分类
cookiesessionStoragelocalStorage区别
热门推荐
浮生离梦的博客
05-30 8万+
一、 概念的理解 webstorage本地储 1)webstorage是本地储,储在客户端,包括localStoragesessionStorage 2)localStorage生命周期是永久,这意味着除非用户显示在浏览器提供的UI上清除localStorage信息,否则这些信息将永远在。放数据大小为一般为5MB,而且它仅在客户端(即浏览器)中保,不参与和服务器的通信 3)ses...
cookielocalStoragesessionStoragetoken
weixin_38647954的博客
05-24 580
​ 前端本地储的方式有三种,分别是cookie。一、cookie1.1 cookie是什么?http是一种无状态协议,就是一种不保状态的协议,一个服务器不清楚是不是同一个浏览器在访问它。cookie的出现是为了解决前一种技术token的缺陷。为了解决http无状态的特点,会在请求中插入token,然后发送请求,告诉服务器,但是这种方式容易出错,所以cookie就出现了。
cookie,sessionStorage,localStorage区别及应用场景、http状态码含义、使用token登录、无感登录
weixin_42575028的博客
03-28 1067
浏览器的缓机制提供了可以将用户数据储在客户端上的方式,可以利用cookiesession等跟服务端进行数据交互。浏览器的储方式有哪些?
细说CookieLocalStorageSessionStorage
gry_angles的博客
06-17 173
面试题目中经常被问到CookieLocalStorage区别,可见其在项目开发中的重要性,这篇文章旨在详细阐述这部分内容。 概念 1.Cookie Cookie分为内cookie和硬盘cookie。内 cookie由浏览器维护,浏览器关闭后消失;硬盘cookie在硬盘里,有过期时间,除非手动清理或到过期时间,否则不会消失。 Cookie是一个浏览器状态管理文件,由于http协议是...
JWT Token储在Cookie还是LocalStorage
cjl969911737的博客
07-28 8742
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
Angular之jwt令牌身份验证的实现
11-21
在身份验证领域,cookie+sessionsessionStoragelocalStorage各有优缺点。cookie可用于跨域跟踪,但安全性较低;session主要在服务器端储,安全但不便于分布式环境;sessionStoragelocalStorage在客户端储...
前端知识Token知识点笔记.pdf
05-31
本笔记是关于CookieSessionTokenJWT系列的第三部分,下篇笔记将详细介绍JWT并比较它与Token以及Cookie区别。整个系列旨在帮助读者深入理解这些概念及其在现代Web开发中的应用。通过阅读这些笔记,你可以更好...
Jwt的应用:登陆验证的流程
07-24
客户端收到JWT后,将其储在本地,通常是在浏览器的localStoragesessionStorage中。由于JWT是自包含的,客户端不需要再次向服务器请求用户信息,从而减少了服务器的负载。 6. 之后的请求 每次客户端需要访问受...
Spring Boot 整合 JWT的方法
08-18
在客户端,Token 可以储在 CookielocalStoragesessionStorage 里面。 引入相关依赖并开发 JWT 工具类是实现 Spring Boot 整合 JWT 的关键步骤。首先,需要引入依赖: ```xml <!-- JWT 相关 --> ...
cookiesessionStoragelocalStorage区别和共同点
weixin_43948136的博客
07-04 361
cookiesessionStoragelocalStorage的共同点和区别? 共同点:都是保在浏览器端的,且是同源的 区 别: 1、cookie数据始终都是在同源的http中携带(即使不需要),即cookie在浏览器和服务器端来回传递,而sessionStoragelocalStorage仅在本地保,不会自动把数据发送给服务器端。 2、cookie数据还有路径(path)的...
JWTtoken登录详解及项目实操流程
Shaw_Jie的博客
11-08 2399
jwttoken登录实际操作流程,详细操作,分三部分,封装生成token、验证token的函数,搭建服务器,调接口设中间件验证token
jwt应该保在哪里
java技术博客
07-10 1886
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的放位置 , 每个项目都是有点差异 , 有的放在 cookie , 有的放在 LocalStorage , 有的放在 SessionStorage , 经过本文的阅读 , token 放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
CookieSessionTokenJWT区别
睡不醒大猫的博客
04-23 274
HTTP是无状态的协议:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次请求的发送者是不是同一个客户端。服务器与浏览器为了进行会话跟踪,就必须主动的去维护一个状态,这个状态用于告诉服务端前后两个请求是否来自同一个浏览器。这个状态就需要通过cookie或者session来实现。cookie储在客户端:cookie是服务器发送到用户浏览器,并进行保到本地的数据,它会在浏览器下次向同一服务器再发起请求时被再一次被带到并发送到服务器上面。
Web面试题汇总-自用
qq_44697315的博客
03-30 553
盒子模型分为两种:标准盒模型和怪异盒模型。标准盒模型是由宽高内外边距边框还有盒子的内容来决定盒子大小的;怪异盒模型,所设置的宽度和高度就是盒子的大小,不会因为加了内外边距而撑开盒子。设置标准盒模型:box-sizing:content-box,设置怪异盒模型:box-sizing:border-box原型:就是在js中每定义一个对象,对象里面都会包含一些预设的属性,所有的函数对象都有一个prototype属性,这个属性指向一个对象,该对象称为函数的原型对象。
前端数据储系列(CookieSessionlocalStoragesessionStorageToken
m0_52711377的博客
10-28 3226
Cookie是客户端保用户信息的一种机制,用来记录用户的一些信息,实际上Cookie是服务器在本地机器上储的一小段文本,并随着每次请求发送到服务器。Cookie会根据响应报文里的一个叫做Set-Cookie的首部字段信息,通知客户端保Cookie。当下客户端再向服务端发起请求时,客户端会自动在请求报文中加入Cookie值之后发送出去保时间:默认情况下,当浏览器关闭后,Cookie数据被销毁持久化储:正数:将Cookie数据写到硬盘的文件中。持久化储。
前端面试题:Token一般是放在哪里 Token放在cookie和放在localStoragesessionStorage中有什么不同
m0_54854317的博客
03-06 9538
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种储方式: 1.储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般..
cookie,localStorage,sessionstoragetoken区别
weixin_48366131的博客
11-18 931
cookie和sesson 安全性:sesson比cookie安全,sesson时储在服务器端的,cookie储在客户端 储的类型不同:cookie只支持字符串数据。想要设置其他类型的数据需要转成字符串sesson可以储任意类型 有效期不同:cookie可以设置长时间保比如长使用的默认登陆功能,sesson一般失效事件较短,客户端关闭或者sesoon超市都会失效 储大小不同:单个cookie的数据不能超过4k,sesson可储的数据远高于cookie,但是访问量过多,会占用过多的服务器
cookietokensessionStoragelocalStorage区别
最新发布
06-07
CookieTokensessionStoragelocalStorage 都是浏览器中用于储数据的机制,但它们在用途、生命周期和数据大小等方面有所不同: 1. **Cookie**: - **用途**: Cookie 主要用于跟踪用户身份和设置,比如网站登录状态或用户的首选项。它们通常发送到服务器,服务器会回传一个带有特定域限制的标识。 - **生命周期**: 客户端控制,有默认过期时间(一般为1-2周)或由开发者设定的max-age属性。每次页面刷新都会发送给服务器。 - **大小限制**: 早期的限制通常较小,现在最大可达4KB,具体取决于浏览器配置。 - **安全性**: 容易被劫持,因为可以通过浏览器的cookies.txt文件查看。 2. **Token (通常指JWT)**: - **用途**: JWT(JSON Web Token)主要用于跨域身份验证,包含用户信息,服务器验证后返回给客户端,客户端在每个请求头中附带此令牌。 - **生命周期**: 可以设置为长或短,可包含自签发到过期的详细信息,也可以通过服务器进行刷新。 - **储位置**: 常见的是在HTTP头部,不是浏览器储,但有时前端也会储为局部储。 - **安全性**: 加密和签名确保了令牌的安全性,但同样可能因拦截而暴露。 3. **sessionStorage**: - **用途**: 仅在当前会话期间有效,储的数据是私有的,不会发送到服务器,适用于临时保用户交互信息。 - **生命周期**: 直到浏览器窗口关闭或刷新页面时失效。 - **数据大小**: 比localStorage大,一般限制在5MB左右,但不同浏览器可能有差异。 - **跨域限制**: 同源策略限制,不能跨域访问。 4. **localStorage**: - **用途**: 储长期数据,如用户的设置或首选项,生命周期长,直到用户清除浏览器数据。 - **生命周期**: 没有明确的过期日期,除非手动删除或达到储限制。 - **数据大小**: 较大,通常超过5MB,但同样受浏览器配置影响。 - **跨域限制**: 同样受限于同源策略,且同源情况下才能读取。 相关问题: 1. 如何根据数据的敏感性和使用场景选择合适的储方式? 2. 当用户关闭浏览器后,sessionStoragelocalStorage的数据处理方式有何不同? 3. 使用Cookie时,如何设置一个自定义过期时间?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值