Cookie、Session、Token的简单理解

Cookie、Session与Token:Web身份验证的比较
最新推荐文章于 2024-07-07 10:37:43 发布
原创 最新推荐文章于 2024-07-07 10:37:43 发布 · 610 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript

本文详细介绍了Cookie、Session和Token三种Web身份验证机制的工作原理、优缺点及其应用场景。Cookie是存储在客户端的数据,Session是服务器端保存用户状态的手段,而Token作为安全令牌,提供了一种无状态的身份验证方式。理解它们的差异对于优化应用程序的性能和安全性至关重要。

Cookie、Session、Token

Cookie

HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据(key-value)。浏览器会存储 cookie 并在下次向同一服务器再发起请求时携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器——如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。

Cookie分类
  • 会话期 Cookie(Expires属性缺省时)会在当前的会话结束之后删除。浏览器定义了“当前会话”结束的时间,一些浏览器重启时会使用会话恢复。这可能导致会话 cookie 无限延长。
  • 持久性 Cookie 在过期时间(Expires)指定的日期或有效期(Max-Age)指定的一段时间后被删除。
    • 当 Cookie 的过期时间( Expires)被设定时,设定的日期和时间只与客户端相关,而不是服务端。
Cookie的缺点
  • cookie是客户端技术,对客户端是可见的,数据安全性较低。
  • cookie中只能保管ASCII字符串,假如需求存取Unicode字符或者二进制数据,需求先进行编码
  • 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

Session

服务器为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。

Session的实现

服务器创建session出来后,会把session的id号,以cookie的形式回写给客户机,这样,只要客户机的浏览器不关,再去访问服务器时,都会带着session的id号去,服务器发现客户机浏览器带session id过来了,就会使用内存中与之对应的session为之服务。

Session的缺点
  • Session是保管在服务器端的,每个用户都会产生一个Session。假如并发访问的用户多,会产生大量的Session,很耗费存储空间

Cookie与Session的区别

  • 数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。

  • cookie中只能保管ASCII字符串,假如需求存取Unicode字符或者二进制数据,需求先进行编码,Session中能够存取任何类型的数据

  • Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件或内存中

  • Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。

  • session 的运行依赖 session id,而 session id 是存在 cookie 中的,也就是说,如果浏览器禁用了 cookie ,同时 session 也会失效(但是可以通过其它方式实现,比如在 url 中传递 session_id)

  • 本来 session 是一个抽象概念,开发者为了实现中断和继续等操作,将 user agent 和 server 之间一对一的交互,抽象为“会话”,进而衍生出“会话状态”,也就是 session 的概念。

  • cookie 是一个实际存在的东西,http 协议中定义在 header 中的字段。可以认为是 session 的一种后端无状态实现。

Token

token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。

简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。

Token优点
  • 支持跨域访问: Cookie是不允许垮域访问的,token支持
  • 无状态: token无状态,session有状态的
  • 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可
Token缺点
  • 占带宽,正常情况下要比 session_id 更大,需要消耗更多流量,挤占更多带宽
  • 无法在服务端注销,很难解决劫持问题
实现登陆模块时CookieSessionToken理解
Wyatt_zhai
11-18 1752
当我们实现登陆模块时,总是会看到使用JWT,自然会看到Cookie,Seesion,Token等字眼,本文希望可梳理清楚概念,巩固好基础知识
彻底搞清sessioncookietoken的区别
最新发布
weixin_70787959的博客
06-20 890
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全与跨域问题;Session存储于服务端,通过SessionIDCookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
session对象
Hyo_yew的博客
03-24 2550
session对象web服务器会给每一个用户自动创建一个session对象,为每一个session对象分配一个唯一表识的String类型的ID,这个ID用来区分其他用户。这样每个用户都对应一个session对象,不同用户session对象互相不同。当在不同文件夹里放不同的jsp文件并分别运行时:一个用户同一个web服务目录中只有一个session对象,当用户访问相同的web服务目录的其他页面时...
shiro登录,同一浏览器用户登陆session被覆盖问题,session后登录用户将前登录用户覆盖
test1372965955的博客
04-19 1074
/禁用cookie即可。
谷歌浏览器,网站多账号登陆的方法
人生苦短,何妨一试
07-14 3577
网站多账号登陆的方法
我对session理解
勇往直前
07-07 521
session是保存在服务器端的,但是每个用户有对应的session,应该就是每个用户对应一个线程,不同用户session不能共用,所以有时先把A用户session放到一个文件(或数据库)中,然后B用户再从那个文件中读取。
CookieSession
Simon郎的博客
10-19 357
一、Cookie 我们浏览的网页使用的HTTP协议是无状态的的,若关闭网页,浏览器和服务器端的连接就会断开,下次打开网页又要重新连接,服务器无法从你上一次打开的连接上恢复上一次的对话,服务器不记得你。 当有了Cookie后,会把你的信息记录在Cookie里,在打开网页和服务器建立连接的时候,客户端会把Cookie里的信息一同发送给服务器,服务器就能从Cookie里接收到信...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
Cookie Session Token 鉴权的区别和原理
m0_65431718的博客
07-07 1254
令牌。最简单token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
SessionBox:多次登录网站-Cookie选项卡隔离
05-27
SessionBox / MultiLogin 多次登录网站-使用JavaScriptCookie网站隔离。 同时登录到同一站点上的多个帐户。 英语 网站通常使用cookie来记录用户的唯一标识符。 无需在每次请求时都再次询问他的登录名/密码。 Cookies属于域名。 在经典浏览器中(未激活私有模式),您无法在同一网站的多个用户帐户上使用同一浏览器进行连接。 要允许多个用户帐户登录,有一种解决方法,即通过“浏览器”选项卡隔离cookie。 想法是将cookie保存在并在显示该选项卡时或在更改网页之前自动将其还原。 约束是您必须使用SessionBox.close()函数才能注销用户帐户。 服务器端 确保在用户登录时创建了新的用户ID(即使cookie已经存在)。 PHP中的一个示例: session_name ( 'COOKIE1' ); $ newid = ses
Session详解(重点)
qq_53374893的博客
04-17 1463
1.服务器会给每一个用户浏览器)创建一个对象;2.一个Session独占一个浏览器,只要浏览器没有关闭,这个session就会存在;3.用户登录之后,整个网站它都可以访问!--->保存用户的信息;//session在创建的时候,做了什么事情?其实session服务器端cookie客户端Session可以存对象存放对象@Override//解决中文乱码问题//解决浏览器中文乱码问题//得到session对象//给Session中存东西。
解决同一浏览器登录多个账户session共享问题
热门推荐
不会写博客
10-11 3万+
首先session是同一PC同一浏览器共享的.比如如下代码:public void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException { HttpSession hs = request.getSession();
Session详解
weixin_30929195的博客
11-29 237
Session特点: 1.Session保存在服务器端,为了获得更高的存取速度,一般把Session保存在内存当中; 2.每个用户都有一个独立的Session,为了避免大量用户访问服务器导致内存溢出,Session内的消息应当尽量精简; 3.Session用户第一次访问服务器时创建,需要注意的是只有访问JSP,Servlet等程序时才会创建Session,单纯访问图片,HTML等静态资源时...
如何区分不同用户——Cookie/Session机制详解
tomorrow_fine的博客
08-18 905
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。   1.1  Cookie机制 在程序中,会话跟
session对象的ID
fighting123678的博客
12-25 1732
1、一个用户发送多次请求到服务端,服务器怎么认识的呢? 服务器给它分配一个session,这个session有一个ID号,也就是说,不同用户session是不一样的,每个用户都有一个session,每个session都有一个不同的ID。 在返回请求的时候,它会把session的ID号返回给客户端,然后客户端在发第二次请求的时候,这个请求就包括session ...
SpringBoot Shiro 多用户登录控制及同一浏览器登录多个账号 session相互覆盖问题
qq_38322989的博客
05-27 4636
SpringBoot Shiro 框架实现同一个浏览只能一个账号登录 问题点: 同一个浏览器上登录多个三员账号,后登陆的会覆盖前面的session,但是前面的页面没有退出(后续请求使用的是后登录的用户session),导致日志记录等获取的当前操作主体不准确 解决: 在 login 方法中加入以下方法 Subject subject = SecurityUtils.getSubject(); if(subject.getPrincipal()!= null){ String msg2=
session机制及session的应用
实践出真知
10-12 1545
session简介 Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。使用上比Cookie简单一些,相应的也增加了服务器的存储压力。 客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。如果说Cookie机制是通过
cookie session token区别
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值