cookie、session、JWT

最新推荐文章于 2023-07-02 15:32:51 发布
最新推荐文章于 2023-07-02 15:32:51 发布
阅读量162 收藏
点赞数
文章标签: 服务器 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57836635/article/details/130291753
版权
文章介绍了Web应用中常见的三种用户认证机制:Cookie用于在客户端存储信息,Session在服务器端存储用户信息,JWT则提供了一种更安全的跨域认证方式。每种机制有其优缺点,Cookie和Session易被窃取,JWT安全性更高但需管理Token的有效性。
摘要由CSDN通过智能技术生成

1、Cookie

Cookie 是一种存储在客户端浏览器中的小型文本文件,它包含了一些关于用户的信息,如用户名、密码等。当用户访问某个网站时,网站会将 Cookie 写入到用户的浏览器中,以便下次访问时可以自动登录。Cookie 的原理是,当用户访问网站时,浏览器会将 Cookie 发送给服务器,服务器根据 Cookie 中的信息来识别用户身份,从而实现免登录。

优点

  • 简单易用,浏览器自动处理Cookie的发送和接收。
  • 可以存储大量的信息,因为Cookie可以存储在客户端的浏览器中。
  • 可以设置过期时间,可以长期存储用户信息,不需要重复登录。

缺点

  • 安全性差,Cookie信息存储在客户端,容易被窃取和篡改。
  • 可能会被禁用或清除,导致用户需要重新登录。
  • Cookie只能存储文本信息,不适合存储二进制数据。

2、Session

Session 是一种在服务器端存储用户信息的技术。当用户登录时,服务器会为该用户创建一个 Session,将用户信息存储在 Session 中。当用户访问网站时,服务器会根据 Session 中的信息来识别用户身份,从而实现免登录。

当用户第一次访问网站时,服务器会为该用户创建一个 Session,并生成一个唯一的 Session ID,将 Session ID 存储在 Cookie 中,然后将用户信息存储在 Session 中。

当用户再次访问网站时,浏览器会将 Cookie 中的 Session ID 发送给服务器,服务器根据 Session ID 来查找对应的 Session,并获取用户信息。

Session 有一个过期时间,一般为 30 分钟或 1 小时。当用户在一段时间内没有操作网站时,Session 会过期并被销毁。此外,用户退出登录时,也需要销毁 Session。

需要注意的是,Session 存储在服务器端,因此对服务器的内存和性能有一定的影响。为了避免 Session 过多导致服务器崩溃,一般需要设置 Session 的过期时间,并定期清理过期的 Session。

Session ID 存储在 Cookie 中的方式与其他信息存储在 Cookie 中的方式相同,只是 Session ID 的名称和值不同。一般情况下,Session ID 的名称为 “JSESSIONID”,值为服务器生成的唯一的 Session ID。

需要注意的是,Session ID 存储在客户端的 Cookie 中,可能会被一些恶意程序获取,从而导致用户信息泄露的风险。因此,需要采取一些安全措施来保护 Session ID 的安全,如使用 HTTPS 协议传输数据、设置 HttpOnly 属性等。

优点

  • 安全性较高,Session信息存储在服务端,不容易被窃取和篡改。
  • 可以存储大量的信息,因为Session信息存储在服务端,不受客户端限制。
  • 可以设置过期时间,可以长期存储用户信息,不需要重复登录。

缺点

  • 使用Session需要占用服务端的资源,可能会影响系统的性能。
  • Session在多台服务器集群中需要进行共享,需要额外的配置和管理。

3、JWT (JSON Web Token)

img

token在服务器端只存储一个密钥或签名

  1. 用户通过登录页面输入用户名和密码,服务器验证用户的身份信息,并生成一个 token。
  2. 服务器将生成的 token 返回给客户端,并在客户端存储该 token。
  3. 当用户需要访问需要登录的页面时,客户端将 token 发送给服务器进行验证。
  4. 服务器验证 token 的有效性,如果有效则允许用户访问需要登录的页面。

这种方式可以避免用户每次访问需要登录的页面时都需要输入用户名和密码,提高用户体验。同时,token 的有效期可以设置,可以提高安全性。

优点

  • 安全性较高,Token信息存储在客户端,不容易被窃取和篡改。
  • 可以跨域使用,适用于前后端分离的应用程序。
  • 可以扩展为JWT(JSON Web Token),可以存储任意类型的数据。

缺点

  • Token存储在客户端,可能会被其他网站或应用程序获取到。
  • token 一旦由 server 生成,它就是有效的,直到过期,无法让 token 失效,除非在 server 为 token 设立一个黑名单。需要保证生成的Token的安全性。

TokenUtils:

package com.lxg.jwt.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class TokenUtil {

    private static final String SECRET_KEY = "(aud9h9.a!!)";

   /* public static String generateToken(String username,String password,String subject, long expiration) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", username);
        claims.put("password", password);
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }*/

    // 生成token
    public static String generateToken(Integer id, Integer scope, long expiration) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("id", id);
        claims.put("scope", scope);
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    // 获取token中的信息
    public static String getSubjectFromToken(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
        return claims.getSubject();
    }


    // 获取token中的信息
    public static HashMap<String,Object> getClaimsFromToken(String token){
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
        HashMap<String,Object> map = new HashMap<>();
        map.put("username",claims.get("username"));
        map.put("password",claims.get("password"));
        return map;
    }

    // 验证token是否有效
    public static boolean isTokenValid(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    public static void main(String[] args) {

//        String token = generateToken("xiaolin", "123456","test",864000);
//        String token = generateToken(1, 1,864000);
//        System.out.println("token="+token);
        String token = "eyJhbGciOiJIUzUxMiJ9.eyJzY29wZSI6MiwiaWQiOjEsImV4cCI6MTY4MTg3MTY5M30.XvPwLdmRKkuTP3g0GVCddGlIkM0Y-nT7gHDPi2C_68qWKlDZRi_nVDeMra0aVBSvv-s-skb7ll7eJHA10HTL6A";
        System.out.println("token="+token);
        boolean isValid = isTokenValid(token);
        System.out.println("isValid="+isValid);

        HashMap<String, Object> userMap = getClaimsFromToken(token);
        System.out.println("username="+userMap.get("username"));
        System.out.println("password="+userMap.get("password"));
        String test = getSubjectFromToken(token);

        System.out.println("test="+test);

    }
}

JWTInterceptor:

package com.lxg.jwt.controller.interceptor;


import com.fasterxml.jackson.databind.ObjectMapper;
import com.lxg.jwt.utils.TokenUtil;
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.HashMap;
import java.util.Map;

/**
 * JWT验证拦截器
 */
public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<String,Object> map = new HashMap<>();
        //令牌建议是放在请求头中,获取请求头中令牌
        String token = request.getHeader("Authorization");
//        String token = null;
//        Cookie[] cookies = request.getCookies();
//        if (cookies != null) {
//            for (Cookie cookie : cookies) {
//                if ("token".equals(cookie.getName())) {
//                    token = cookie.getValue();
//                    // 处理token
//                    break;
//                }
//            }
//        }
        try{
            boolean tokenValid = TokenUtil.isTokenValid(token);//验证令牌
            if(tokenValid){
                //获取令牌中的用户信息
                HashMap<String, Object> claimsFromToken = TokenUtil.getClaimsFromToken(token);
                String username = (String) claimsFromToken.get("username");
                String password = (String) claimsFromToken.get("password");
                if (username.equals("xiaolin") && password.equals("123456")) {
                    return true;
                }else {
                    map.put("msg","token失效");
                }
            }
        }catch (Exception e){
            map.put("msg","token失效");
        }
        map.put("state",false);//设置状态
        //将map转化成json,response使用的是Jackson
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(json);
        return false;
    }
}

InterceptorConfig:

package com.lxg.jwt.controller.interceptor;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/api/login")
                .excludePathPatterns("/")
//                .excludePathPatterns("/api/verify")
                .excludePathPatterns("/css/**")
                .excludePathPatterns("/js/**");
    }
}

 .excludePathPatterns("/api/login")
            .excludePathPatterns("/")

// .excludePathPatterns(“/api/verify”)
.excludePathPatterns(“/css/“)
.excludePathPatterns(”/js/”);
}
}
不想写不喜欢的代码
关注
cookiesession和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 393
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
Cookie Session Token 与 JWT 解析
weixin_45898624的博客
06-25 1199
对登录功能的解析
sessioncookie以及jwt
zflhw的博客
04-05 443
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png CookieSession HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP...
sessioncookiejwt
qq_32037561的博客
08-04 230
session,cookie,jwt
Cookie,Session,JWT
程序员阿甘的博客
10-19 523
HTTP协议 HTTP协议是一种无状态的协议。 早期WEB为了推广,需要一种可以快速共享资源的网络传输协议,这种协议旨在从服务器快速推送资源给任意一个客户端,而不在乎访问者是谁,后面就发明了HTTP协议。HTTP协议的无状态性是指HTTP协议无法记录传输过程中访问者是谁。 但是,随着WEB的发展,各种致力于为私人用户提供特定服务的服务器开始出现,比如电商服务器,用户需要经过电商服务器的身份认证才能继续使用服务器的其他功能。而HTTP协议本身是无状态的,即HTTP协议本身无法记录访问者信息。 身份
CookieSessionJWT
God_Hearing的博客
10-05 322
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密和保存登录状态和会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名和密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
php 谈谈我对session, cookies和jwt的理解
mengzuchao的专栏
06-05 678
最近在做项目重构,因为核心功能仅以restful风格接口提供,因此对于会话管理这一部分,目前考虑使用jwt(Json Web Token)。本文是我在项目开发过程中对这几种会话管理技术理解的一些总结。不对之处,请指正。为什么我们需要会话管理众所周知,HTTP协议是一个无状态的协议,也就是说每个请求都是一个独立的请求,请求与请求之间并无关系。但在实际的应用场景,这种方式并不能满足我们的需求。举个大家...
SessionCookieJWT详解
TateBrwonJava的博客
04-13 420
CookieSession的产生原因 为什么会有CookieSession,这是一个自然发生的事情,平时在进行开发时,通常使用HTTP或HTTPS协议发送请求到服务端,而学过计算机网络的都知道,HTTP协议是一种无状态的协议,服务端无法从请求本身知道请求方的相应信息状态,简单说就是请求对于服务端来说都是一视同仁的。这就无法满足实际的开发需求,所以就出现了CookieSession,这是HTT...
CookieSessionJWT的详解
miaozy
04-10 1471
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
cookie-sessionJWT的比较
a_369488977的博客
11-02 208
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
Session,Cookie,JWT的理解
Tony_20的博客
02-01 232
1.为什么要使用会话管理 总所周知,HTTP协议是一个无状态的协议,也就是说每个请求都是一个独立的请求,请求与请求之间并无关系。但在实际的应用场景,这种方式并不能满足我们的需求。举个例子,把商品加入购物车,单独考虑这个请求,服务端并不知道这个商品是谁的,应该加入谁的购物车?因此这个请求的上下文实际上应该包括用户的相关信息,在每次用户发出请求时把这一小部分额外信息,也作为请求的一部分,这样服务端就可...
Cookie,SessionJWT
林北
10-19 1081
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端和服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
CookieSessionJwt
m0_45887053的博客
06-24 292
将数据持久化保存到服务器端或者浏览器端让浏览器和服务器进行多次数据交换时产生连续性
鉴权之cookiesessionJWT
wxiao_xiao_miao的博客
09-26 1127
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
CookieSession,Token和Jwt详解
weixin_53952534的博客
01-25 870
cookiesession,token和jwt的区别和联系
SessionCookiejwt的温习~
yeleng的博客
03-14 310
最开始写php的时候本就用的Session,后面写api用jwt以后就把session忘光了,~哎!!看来做事情需要多加练习,久了不用很快就忘记的了!!!!Cooki是一种客户端浏览器端存储数据并以此来跟踪和识别用户的机制当用户再次访问这个web网站,网站通过读取Cookie文件记录的内容(如上次访问的位置,花费的时间,用户的帐号和密码等)这样可以做到迅速相应和如不需要再次输入帐号和密码等功能。
CookieSessionJWT 到底是什么?有什么不同?
十七的博客
11-04 363
JWT(JSON Web Token)是一个用在客户端和服务端之间、以 JSON 对象的形式安全传输信息的令牌。 Cookie 是一个用来辨别用户身份、进行 Session 跟踪的小型文本文件。 Session 是一个用来存放单一用户当前访问服务器产生的信息的对象。 CookieSession 一般是一起使用,用户访问的信息用 Session 对象存储在服务端,对应的 SessionID 以 Cookie 对象存储在客户端。
CookieSession、Token、JWT详细介绍
最新发布
AN_NI_112的博客
07-02 1138
CookieSession、Token详细介绍
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 959
全网最详细,关于sessioncookie,token的用户认证的原理与区别
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值