什么是Cookie,session,token

最新推荐文章于 2024-09-12 17:35:29 发布
最新推荐文章于 2024-09-12 17:35:29 发布
阅读量256 收藏
点赞数 1
分类专栏: 面试 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44912855/article/details/109552142
版权

什么是 Cookie

 

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)是一种记录服务器和客户端会话状态的机制 :每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。

  • cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

  • cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。

 

什么是 Session

 

  • session 是另一种记录服务器和客户端会话状态的机制

  • session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中

  • session 认证流程:

    • 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session

    • 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器

    • 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名

    • 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。

  • 根据以上流程可知,SessionID 是连接 Cookie 和 Session 的一道桥梁,大部分系统也是根据此原理来验证用户登录状态。

 

Cookie 和 Session 的区别

 

  • 安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。

  • 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。

  • 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。

  • 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

 

 

常见问题

 

使用 cookie 时需要考虑的问题

 

  • 因为存储在客户端,容易被客户端篡改,使用前需要验证合法性

  • 不要存储敏感数据,比如用户密码,账户余额

  • 使用 httpOnly 在一定程度上提高安全性

  • 尽量减少 cookie 的体积,能存储的数据量不能超过 4kb

  • 设置正确的 domain 和 path,减少数据传输

  • cookie 无法跨域

  • 一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放 300 个Cookie

  • 移动端对 cookie 的支持不是很好,而 session 需要基于 cookie 实现,所以移动端常用的是 token

 

使用 session 时需要考虑的问题

 

  • 将 session 存储在服务器里面,当用户同时在线量比较多时,这些 session 会占据较多的内存,需要在服务端定期的去清理过期的 session

  • 当网站采用集群部署的时候,会遇到多台 web 服务器之间如何做 session 共享的问题。因为 session 是由单个服务器创建的,但是处理用户请求的服务器不一定是那个创建 session 的服务器,那么该服务器就无法拿到之前已经放入到 session 中的登录凭证之类的信息了。

  • 当多个应用要共享 session 时,除了以上问题,还会遇到跨域问题,因为不同的应用可能部署的主机不一样,需要在各个应用做好 cookie 跨域的处理。

  • sessionId 是存储在 cookie 中的,假如浏览器禁止 cookie 或不支持 cookie 怎么办? 一般会把 sessionId 跟在 url 参数后面即重写 url,所以 session 不一定非得需要靠 cookie 实现

  • 移动端对 cookie 的支持不是很好,而 session 需要基于 cookie 实现,所以移动端常用的是 token

 

 

session 共享(常用)

  • 使用分布式缓存方案比如 Memcached 、Redis 来缓存 session,但是要求 Memcached 或 Redis 必须是集群

  • 把 session 放到 Redis 中存储,虽然架构上变得复杂,并且需要多访问一次 Redis ,但是这种方案带来的好处也是很大的:

    • 实现了 session 共享;

    • 可以水平扩展(增加 Redis 服务器);

    • 服务器重启 session 不丢失(不过也要注意 session 在 Redis 中的刷新/失效机制);

    • 不仅可以跨服务器 session 共享,甚至可以跨平台(例如网页端和 APP 端)

       

Token的介绍及使用

暖风吹i
关注
专栏目录
Session会话机制
cxyYeChen的博客
04-01 1186
文章目录Session会话机制概念快速入门细节session的特点代码实现(判断是否登录) Session会话机制 概念 Session是服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。(session机制属于B/S结构的一部分,不同的语言对这种会话机制都有实现。) 什么是会话? 用户打开浏览器,进行一系列操作,然后最终将浏览器关闭,这个整个过程叫做:一次会话。会话在服务器端也有一个对应的java对象,这个java对象叫做:session。 什么是一次请求:用户在
cookiesessiontoken详解和区别
Hiro18的博客
09-27 6255
帮你存储一些在交互过程临时产生的数据当你打开浏览器,访问一个网站,认为会话开始了,当你关闭浏览器的时候,会话结束了接下来先详细介绍cookiesessiontoken,当你充分了解他们之后,就会发现他们的区别。
sessioncookie的区别(转)
renkai606的专栏
07-31 566
这些都是基础知识,不过有必要做深入了解。先简单介绍一下。 二者的定义: 当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择, 都纪录下来。当下次你再光临同一个网站,WEB 服务器会先看看有没有它上次留下的 Cookie 资料,有的话,就会依据 Cookie 里的内容来判断使用者,送出特定的网页内容给你。 Cookie 的...
sessioncookietoken
最新发布
m0_69777632的博客
09-12 1096
特性CookieSessionJWT存储位置客户端(浏览器)服务器端客户端(通常存储在浏览器的localStorage、sessionStorage或cookie中)数据类型主要为字符串(可序列化复杂对象)任意数据类型JSON格式,包含Header、Payload和Signature大小限制一般不超过4KB(不同浏览器可能有所不同)无明显限制,但受服务器内存和配置影响取决于编码后的长度,但通常较小生命周期可设置过期时间,默认为浏览器关闭时失效。
理解CookieSession的区别及使用
liyifan687的博客
04-25 10万+
前言 HTTP是一种无状态的协议,为了分辨链接是谁发起的,需自己去解决这个问题。不然有些情况下即使是同一个网站每打开一个页面也都要登录一下。而SessionCookie就是为解决这个问题而提出来的两个机制。 应用场景 登录网站,今输入用户名密码登录了,第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是cookiesession一个场景是购物车,添加了商品之后客户端...
cookiesession
菜鸡旭旭
02-23 249
1.简单是因为它只是http一个配置 Servlet规范是一个类 2.考虑对cookie的数量和大小限制问题 3.服务器过多时考虑session管理问题共享问题 4.cookie安全问题 cookie被盗、伪造问题 5.作用 保持用户与后端的访问状态 6.cookie数量过多会占用带宽 cookie理解 访问时,服务器将键值对返回,加限制条件,如果下次在访问被带回 类似与购物办卡 设计原因 htt...
CookieSession的区别(面试必备)
热门推荐
chen13333336677的博客
09-17 16万+
一、共同之处: cookiesession都是用来跟踪浏览器用户身份的会话方式。 二、区别: cookie数据保存在客户端,session数据保存在服务端。 session 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
从描述中可以知道,文档的目标是帮助应聘者在面试过程中对SessionCookieToken有一个全面的了解,确保他们能够自信地回答面试官的问题,避免面试中遇到相关问题时感到困惑或不自信。 在标签"面试 php session ...
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
浅谈SessionCookie的区别与联系
Eason的博客
07-14 13万+
一、Session的概念Session 是存放在服务器端的,类似于Session结构来存放用户数据,当浏览器 第一次发送请求时,服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session,并将其通过响应发送到浏览器。当浏览器第二次发送请求,会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上,服务器从请求中提取出Session ID,并和保存的所有
CookieSession
l18594yj的博客
05-30 127
CookieSession 任务 案例一:记录上次访问时间 案例二:一次性验证码校验 可以响应给浏览器Cookie信息 可以接收浏览器携带的cookie信息 可以对session作用域的数据进行操作:存放、获得、移除 理解session的执行原理 案例一:记录上次访问时间 一,需求分析 在访问一个资源的时候,展示上次访问的时间 若是第一次访问则展示:你是第一次访问,若不是第一次则展示:你上次访问的时间是:xxxx 二,技术分析 1.什么是会话 用户打开浏览器,浏览不同的网页
CookieSession
qq_54219272的博客
04-10 1万+
CookieSession 文章目录CookieSession一、session二、Cookiesession的区别三、servlet中对CookieSession提供的封装 前言: 这篇帖子重点讲讲CookieSession之间的区别,以及作用,Cookie在http协议中就提到了他的定义,作用,小伙伴们可以跳转到 Http协议 这个页面看看Cookie的基本概念及作用。 前情回顾: 1、Cookie是浏览器提供的一种让程序员在本地存储数据的能力,让数据在客户端这边更持久化。 2、C
cookiesessionToken是什么?
极客
09-02 469
HTTP是无状态协议,无法记得上一次连接的信息,比如记不得用户是否已经登陆等信息。 而SessionCookieToken便是对HTTP无状态的一种补充; Cookie Cookie是浏览器对于一些信息的键值对形式保存,当浏览器关闭,Cookie也就删除了;也可以设置Cookie的存活时间,关闭浏览器后不会断开会话。 Session Session是服务器中保存的对象(Tomcat保存在ConcurrentHashMap<Session>中),生成之后在返回Http respons
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值