cookie、session和token的区别

最新推荐文章于 2023-05-12 21:24:13 发布

wake偏爱

最新推荐文章于 2023-05-12 21:24:13 发布

阅读量2k

点赞数 1

分类专栏：计算机网络文章标签：服务器 http 前端 cookie session

本文链接：https://blog.csdn.net/weixin_48661004/article/details/121686961

版权

计算机网络专栏收录该内容

1 篇文章 0 订阅

订阅专栏

背景

首先HTTP协议是一种无状态的协议，即服务器无法判断用户的身份

一个http请求大致分为三步：

1.客户端浏览器发送请求给服务器

2.服务器处理该请求

3.服务器将处理结果响应给客户端浏览器

之后该客户端再次向该服务器发送请求后，服务器端并不能知道这两个请求是否是同一个浏览器或用户发送出来的。

所以作为服务器必须能够采用某种方式来唯一识别同一个用户，并记录该用户的状态。

而这同一个客户端与服务器端的在一段时间内的多次交互，我们就可以称该客户端为该服务器端的一个客户端会话窗口，有了会话窗口，我们就能确定哪个请求是哪个用户发出的了，从而可以实现会话跟踪，并记录用户的行为。

当用户第一次访问并登录一个网站的时候，cookie的机制经历以下4个步骤：

1.客户端发送一个请求到服务器

2.服务器发送一个HttpResponse响应到客户端，其中包含Set-Cookie的头部（用于将cookie返回给浏览器）

3.客户端保存cookie，之后向服务器发送请求时，HttpRequest请求中会携带cookie

4.服务器返回响应数据

cookie特点

① cookie机制采用的是在客户端保存HTTP状态信息的方案

② 每一个cookie都有一个name和一个value，且name是唯一的。相同名字时，后者会覆盖掉前者

③ 一个web浏览器可以存储多个web站点提供的cookie，浏览器一般只允许存放300个cookie，每个站点最多存放20个cookie，每个cookie的大小限制为4KB

(1) 会话级的cookie

默认情况下它是一个会话级别的cookie，存储在浏览器的内存中，用户退出浏览器之后被删除

(2) 持久化的cookie

若希望浏览器将该cookie存储在磁盘上，则需要设置该cookie的生命周期setMaxAge，并给出一个以秒为单位的时间，将最大时效设为0则是命令浏览器删除该cookie

cookie的domain和path属性定义了cookie的作用范围，即访问哪些网站或url时，会自动的带着该cookie。domain即域名，默认是当前主机（不包括子域名），path默认是*（所有路径），即域名后面的路径，大部分情况下我们都是使用默认的设置即可。

session

基本介绍

session机制采用的是在服务器端保持HTTP状态信息的方案。

为了加速session的读取和存储，服务器中会开辟一块内存用来保存服务器端所有的session，每个session都会有一个唯一标识session id，根据客户端传过来的jsession id(cookie中)，找到对应的服务器端的session。

为了防止服务器端的session过多导致内存溢出，服务器默认会给每个session设置一个有效期(30分钟)，若有效期内客户端没有访问过该session，服务器就认为该客户端已离线并删除该session。

基本原理

1. 当用户发送一个请求到服务器时，服务器会先检查请求中是否含有session id(存在cookie中或者在url中)

2. 如果不存在sessionid(说明是第一次请求)，就会为该请求用户创建一个session对象，并将该session对象的sessionid响应给客户端 (sessionid放到响应头的set-cookie中，格式set-cookie:sessionid，下次再请求时cookie中就会有一个name为jsessionid的cookie，value就是sessionid)

3. 如果存在sessionid，就会在服务器端查找是否有该sessionid对应的session，如果有就使用，没有就创建一个