cookie token session三者之间的区别

最新推荐文章于 2023-06-27 17:27:11 发布
最新推荐文章于 2023-06-27 17:27:11 发布
阅读量131 收藏 1
点赞数
分类专栏: HTTP专栏 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47724444/article/details/130925551
版权

Cookie属于是数据的一种载体,存储在客户端(浏览器),当想要访问服务端时,cookie会跟随HTTP协议的每个请求发送出去。cookie对客户端是可见的,所以它是不安全的,容易被利用进行欺骗。

Session是诞生并保存在服务器的,由客户端发送(账号密码)给服务器,服务器生成一个session id给客户端,客户端下次带着session id 来进行请求。

Token是诞生在服务器,但保存在浏览器,,是由客户端主导。服务端收到请求,去验证用户名与密码;验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端;客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;客户端每次向服务端请求资源的时候需要带着服务端签发的 Token;服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。

Cookie

session

Token

数据存放在浏览器

诞生并保存在服务器

诞生在服务器,但保存在浏览器

单个Cookie小于4KB

存储容量无上限

保管ASCII字符,并要编码存储为Unicode字符或二进制

能够存储任何类型的数据

使用 Base64 编码token包括3部分headerpoyloadsign

客户端可见,相对不安全

存储在服务器,相对安全

相对安全

设置属性,可长期有效

依赖于名为JSESSIONID的cookie,它的过期时间默认为-1,关闭窗口该session失效,所以不能达到长期有效

  支持跨域名访问

不支持跨域名访问

cookie和session的区别

 (扩展:cookie和session的共同之处在于cookie和session都是用来跟踪浏览器用户身份的会话方式)

 1、存储位置不同

  cookie的数据信息存放在客户端浏览器上, Cookie 在客户端(浏览器)。

  session的数据信息存放在服务器上,Session 在服务器端。

 2、存储容量不同

  单个cookie保存的数据<=4KB,一个站点最多保存20个Cookie

  对于session来说并没有上限,但出于对服务器端的性能考虑,session内不要存放过多的东西,并且设置session删除机制

 3、存储方式不同

  cookie中只能保管ASCII字符串,并需要通过编码方式存储为Unicode字符或者二进制数据字符串,数字。

  session中能够存储任何类型的数据,包括且不限于string,integer,list,map等,字符串,数字,数组,对象。

 4、安全性不同

  cookie对客户端是可见的,别有用心的人可以分析存放在本地的cookie并进行cookie欺骗,所以它是不安全的。

  session存储在服务器上,不存在敏感信息泄漏的风险,重要交互信息比如权限等就要放在Session中。

 5、有效期不同

  开发可以通过设置cookie的属性,达到使cookie长期有效的效果。

  session依赖于名为JSESSIONID的cookie,而cookie JSESSIONID的过期时间默认为-1,只需关闭窗口该session就会失效,因而session不能达到长期有效的效果。

 6、服务器压力不同

  cookie保管在客户端,不占用服务器资源。对于并发用户十分多的网站,cookie是很好的选择。

  session是保管在服务器端的,每个用户都会产生一个session。假如并发访问的用户十分多,会产生十分多的session,耗费大量的内存。

7、浏览器支持不同

  假如客户端浏览器不支持cookie。

   cookie是需要客户端浏览器支持的,假如客户端禁用了cookie,或者不支持cookie,则会话跟踪会失效。关于WAP上的应用,常规的cookie就派不上用场了。

   运用session需要使用URL地址重写的方式。一切用到session程序的URL都要进行URL地址重写,否则session会话跟踪还会失效。

  假如客户端支持cookie

   cookie既能够设为本浏览器窗口以及子窗口内有效,也能够设为一切窗口内有效。

   session只能在本窗口以及子窗口内有效。

 8、跨域支持上不同

  cookie支持跨域名访问

  session不支持跨域名访问

 Session 的运行依赖Session ID,而 Session ID 是存在 Cookie 中的,通过Cookie来传递Session ID,也就是说,如果浏览器禁用了 Cookie,Session 也会失效(但是可以通过其它方式实现,比如在 url 中传递 Session ID)。

  •   ①、使用post方式传递

   在隐藏表单域中传递session_id,然后目的页面用$_POST获取session_id,然后再用session_id('$_POST['sid']')使得当前页面能利用该session_id获取session文件

  ②、通过url传参的方式

   原理是一样的,在目的页面用$_GET['sid']获取session_id...

 ③、文件方式

   在生成session文件的代码中获取session_id并将其写入文件中,那么其他页面可以通过获取该文件内的session_id,进而获取session文件中的内容

 

安全小芭比
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSessionToken三者区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token三者区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
WEB常识 七 TokenSession区别
W_H_M_2018的博客
09-22 382
TokenSession区别 Session 是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息。而 Token 是令牌,访问资源接口(API)时所需要的资源凭证。Token 使服务端无状态化,不会存储会话信息。 SessionToken 并不矛盾,作为身份认证 Token 安全性比 Session 好,因为每一个请求都有签名还能防止监听以及重放攻击,而 Session 就必须依赖链路层来保障通讯安全了。如果你需要实现有状态的会话,仍然可以增加 Session
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
Cookiesessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
Token,CookieSession三者区别
winkexin的博客
05-12 3859
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。
简述一下cookiesession以及token区别
mengluzhixing的专栏
03-15 1838
安全性上在每次请求接口时需要带上token参数,cookie不安全,别人可以分析存在本地的cookie并进行cookie欺骗,考虑到安全应当使用session 可以将登录信息等重要信息存放为session,其他信息可以保存在cookiecookie数据存放在客户的浏览器上、session数据放在服务器内存上、token存储在服务器数据库上。token是接口测试时鉴权码,其实也就是一个字符串,一般情况下登陆后才可以获取到token,相同都是用来签权服务器的,不同的是主要是存储位置和存储容量。
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
#软件测试面试之接口测试#
weixin_63089870的博客
04-19 147
http的连接很简单,是无状态的;同样是因为get请求的参数放在url里边,所以安全性是比较差的,post的请求参数放在body里边,所以安全性就相对于好一点。get请求参数因为被放到url里边,url的长度是受限的,它最大就是2048个字符,而Post的长度的是没有限制的。参数必填校验,参数长度校验,参数数据类型校验,参数数据有效值校验,参数数据默认值校验参数与参数组合数据校验。httphttps使用的是完全不同的链接方式,用的端口也不一样,前者是80,后者是443。session服务器缓存技术;
SessionCookie
一点思考
12-31 401
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
一文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 1072
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
cookiesessiontoken区别
weixin_58344191的博客
06-27 296
cookiesessiontoken区别
CookieSessionToken三者区别
qq_61991235的博客
02-11 4193
CookieSessionToken三者区别
cookie,session,token的优缺点。
VIC1921507475的博客
02-10 2787
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用sessionsession数据放在服务器上。 优点: 1.session较安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
CookieSessionToken、JWT详解
weixin_38961318的博客
09-18 902
CookieSessionToken、JWT详解
cookies,sessiontoken都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 3892
cookies,sessiontoken都是相对安全,并不能完全防窃取
cookiesessiontoken区别
XuXin_971222的博客
06-28 3328
cookiesessiontoken区别
cookie session token区别
最新发布
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值