会话管理 - 弄清楚前后端接口 Cookie、Session、Token 的区别

已于 2022-09-09 16:28:20 修改
阅读量434 收藏 1
点赞数 1
文章标签: cookie session token jwt
于 2021-10-31 23:14:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/william_n/article/details/121071885
版权
本文深入探讨了Cookie、Session和Token在会话管理中的应用,特别是它们的实现原理和区别。通过阅读相关文档和实践,了解到简单登录系统可以基于服务端存储(Session)或客户端存储(JWT)实现。文中强调了技术本质的理解对于合理选择和使用的重要性,并指出JWT常用于分布式系统的单点登录。此外,还分享了如何自己实现一个简单的认证系统,增强了对会话管理技术的掌握。
摘要由CSDN通过智能技术生成

1.应用场景 

主要用于弄清楚, 会话管理中的机制, 登录认证的实现原理, 以及各种技术的本质区别, 从而进行合适合理的高效编程实现.

2.学习/操作

图片

1.文档阅读

傻傻分不清,前后端接口 Cookie、Session、Token 的区别 -- 推荐好好阅读

前后端接口鉴权全解 | Usubeni Fantasy -- 上面的原文 - 推荐

HTTP 会话控制[Cookie与Session] - 学习/实践_william_n的博客-CSDN博客

分布式系统 - 登录 - 学习/实践_william_n的博客-CSDN博客

Lumen - 学习/实践_william_n的博客-CSDN博客 -- 其中涉及到REST API的实践, 有会话管理认证

Restful API - 学习/实践_william_n的博客-CSDN博客

2.整理输出

通过认真阅读, 以及后续的实践验证, 可以知道:

简单说, 就是这些会话管理的技术本质上分为客户端存储与服务端存储两种实现方式

我们常用的单体登录实现, 通常是基于服务端储存实现方式, 

关于分布式系统登录, 则通常是基于JWT来实现, 属于客户端存储实现方式.

关于分布式系统登录中, session中心化实现方式, 属于哪种实现方式, --- 服务端存储

​​​​​​​

剧透一下,下面要讲的 JWT(JSON Web Token)!他是一个 token!但是里面放着 session 信息!放在客户端,并且可以随你选择放在 cookie 或是手动添加在 Authorization!但是他就叫 token!

所以,个人觉得你不能通过存放的位置判断是 token 或是 session id,也不能通过内容判断是 token 或是 session 信息,session、session id 以及 token 都是很意识流的东西,只要你明白他是什么、怎么用就好了,怎么称呼不太重要。

另外在搜索资料时也看到有些文章说 session 和 token 的区别就是新旧技术的区别,好像有点道理。

弄清楚他们之间的区别, 本质, 才能更好地使用.

下面文章的重点内容总结如下:

  • cookie 是储存 session/session id/token 的容器
  • cookie 设置一般通过 set-cookie 请求头设置
  • session 信息可以存放在浏览器,也可以存放在服务器
  • session 存放在服务器时,以 session id 为钥匙获取信息
  • token/session/session id 三者的界限是模糊的
  • 一般新技术使用 token,传统技术使用 session id
  • cookie/token/session/session id 都是用于鉴权的实用技术
  • JWT 是浏览器储存 session 的一种
  • JWT 常用于单点登录(SSO)
  • OAuth2.0 的 token 不是由应用端颁发,存在另外的授权服务器
  • OAuth2.0 常用于第三方应用登录

截图

后续补充

...

3.问题/补充

1. 可以看到作者在最后说到,我们自己可以实现一个简单的登录系统

思路与伪代码已经给出,需要实践

let store = {}

// 登录成功后
store[HASH] = true
cookie.set('token', HASH)

// 需要鉴权的请求钟
const hash = cookie.get('token')
if (store[hash]) {
  // 已登录
} else {
  // 未登录
}

// 退出
const hash = cookie.get('token')
delete store[hash]

所以之前听说,有人自己不用PHP自带的session机制,而是自己封装实现了一个session认证系统,

现在看来,简单的认证系统,我们自己也可以封装实现~ --- 技术无边界,只要懂了,也就觉得没什么神奇的了

2. TBD

4.参考

傻傻分不清,前后端接口 Cookie、Session、Token 的区别 推荐好好阅读

前后端接口鉴权全解 | Usubeni Fantasy -- 上面的原文 - 推荐

HTTP 会话控制[Cookie与Session] - 学习/实践_william_n的博客-CSDN博客

分布式系统 - 登录 - 学习/实践_william_n的博客-CSDN博客

Lumen - 学习/实践_william_n的博客-CSDN博客 -- 其中涉及到REST API的实践, 有会话管理认证

Restful API - 学习/实践_william_n的博客-CSDN博客

后续补充

...

宁小法
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
会话管理Sessioncookietoken
trulyfeixue的博客
12-11 654
会话管理Sessioncookietoken HTTP是无状态的,每次请求都是一个新的HTTP协议,就是请求加响应,不知道是谁刚刚发了HTTP请求,每个请求都是全新的。但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品,也就是说必须把每个人区分开。 一、 session 为解决上面的问题,想出的办法就是给大家发一个会话标识(session id),就是一个随机的字串,每个人收到的都不一样, 每
后端session前端访问_Web基础技术 | CookieSessionToken认证
weixin_34677884的博客
01-28 884
CookieSessionToken认证目录CookieSession认证机制Session的一些安全配置Token认证机制Token预防CSRFSession认证和Token认证的区别----------前言:HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。不然有些情况下即使是打开同一个网站的不同页面也都要重新登录。而CookieSession和...
前后端分离、sessioncookietoken
好好
12-07 1万+
前后端分离需要token(令牌)来进行互通。 前端第一次登录后,后端使用userid,时间戳等信息组成字符串,然后使用加密技术来进行加密,这就是token,传给前端。以后前端在调用接口时,就把token带上,后端拦截器取得这个token后进行解密,如果可正常解密拿到相关数据,则认为是合法信息。 前端后端分属不同项目,域名不同,需要用CROS进行跨域处理。 HTTP是基于请求/响应模式、无状态的...
【Java从零到架构师第③季】【49】会话管理Token_ehcache
Keep Reading Keep Writing Keep Thinking
08-04 276
会话管理Token
前后端鉴权之session-cookie
p1967914901的博客
11-10 982
前后端鉴权之session-cookie前后端鉴权之session-cookie什么是Cookie?什么是SessionSession 的存储方式node.js 下的 session 处理简单实现缺点 前后端鉴权之session-cookie 什么是CookieCookie 就是访问者在访问网站后留下的一个信息片段。它存储在客户端(通常来说是浏览器)。你可以把cookie当作一个map,里边是键值对,每个键值对有过期时间、域、路径、脚本可否访问等描述信息;描述信息存储在客户端,客户端请求时,默认会带上
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
cookie不同,session存储在服务器端,服务器需要有相应的机制来维护和管理各个活跃会话。 最后,token则是一种无状态的认证机制。通常情况下,当用户登录成功后,服务器会生成一个包含用户身份信息(比如用户ID)...
SessionCookieToken会话管理方式
Outengteng的博客
11-16 405
1、基于服务端session管理 原理: 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同的session对象。 服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求时候,就会通过cookiesessionid传回给服务器,以便服务器能够根据sessionid找到与该用户对应
cookiesessiontoken区别----接口测试(python)中的jwt key 部分Django源码分析
tchtest的博客
07-09 422
1、Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2、Session session 从字面上讲,就是会话。这个就
前后端会话保持
weixin_45228198的博客
10-25 723
会话保持为什么要会话保持 为什么要会话保持 因为HTTP是无状态的,请求端、响应端 [^1]xxx
后端session前端session
热门推荐
weixin_44742180的博客
05-20 1万+
需求的问题: 数据库的内容: 前端页面: 前端操作: 点击修改时,把选中信息的“课程名称”与数据库内容相比较。 ①如果此“课程名称”数据库中有数据,页面应变为: ②如果此“课程名称”数据库中没有数据,页面应变为: 想法: 在前端作比较 java代码: ①查询数据库的“课程信息” // 课程名字下拉框 @RequiresPermissions("testcourselive:courseLive:edit") @RequestMapping(value = "selectCourseName") @R
前后端session同步
weixin_34384915的博客
12-30 1810
会话 传统的web开发采用的一般是会话技术,因为http是一种无状态协议,服务器端要想确定不同的请求是否是由同一个用户发出,采用了会话技术,传统的web开发当中,同一个会话内的所有请求对应着同一个session(session是服务器端为用户储存的文件),每个session对应一个id,当用户第一次访问时,服务器将这个session_id写入浏览器的cookie中(注意这个cookie比较特殊,一...
JWT实现token-based会话管理
RodJohnson_523391的专栏
02-13 145
参考地址:[url]http://www.cnblogs.com/lyzg/p/6028341.html[/url] spring Boot实战之Filter实现使用JWT进行接口认证 [url]http://blog.csdn.net/sun_t89/article/details/51923017[/url] 官网文档:[url]https://github.com/auth0/...
session共享问题及四种解决方案-前端存储、session的复制 、session粘性、后端存储(Mysql、Redis等)
子悠のziyou
11-20 2524
session共享问题及解决方案-前端存储、session的复制 、session粘性、后端存储(Mysql、Redis等)
关于SessionToken
tlh980911的博客
10-12 729
HTTP协议是无状态的协议,即:从协议本身并没有约定需要保存用户状态!表现为:某个客户端访问了服务器之后,后续的每一次访问,服务器都无法识别出这是前序访问的客户端!在传统的解决方案中,可以从技术层面来解决服务器端识别客户端并保存相关数据的问题,例如使用Session机制。Session的本质是保存在服务器端的内存中的类似Map结构的数据,每个客户端都有一个属于自己的Key,在服务器端有对应的Value,就是Session。关于客户端提交请求时的Key。
前后端身份认证 -------session机制,JWT机制(jsonwebtoken
qq_43682422的博客
03-28 772
1. 前后端身份认证 1.1 Web开发模式 目前主流的Web开发模式有两种,分别是: 1)基于 服务端渲染 的传统web开发模式 2)基于 前后端分离 的新型web开发模式 服务端渲染web开发模式 服务端渲染的概念: 服务器发送给客户端的HTML页面是在服务器通过字符串的拼接动态生成的,因此客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ //1.要渲染的数据 const user = {name
带你一步步实现低代码开发平台——身份认证技术方案Session模式、令牌模式介绍与对比,前端改造及后端实现
学海无涯,行者无疆
05-08 1172
首先来说一下身份认证,有两种技术方案,一种是基于传统的Session模式,另外一种则是基于令牌的模式,通常使用JWT。传统的session模式使用了很多年,技术非常成熟,不过这种模式的存在一些弊端: 1. 资源消耗:使用session模式需要在服务器上存储会话数据,这可能会导致服务器资源的消耗增加。如果同时有大量用户使用系统,这可能会导致服务器崩溃或变慢。 2. 可扩展性:使用session模式可能会影响系统的可扩展性。如果需要将系统扩展到多个服务器上,那么需要确保所有服务器都可以访问会话数据。这可能需要
Session认证机制与JWT认证机制
qq_59181609的博客
07-11 339
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。例如,你去找快递员取快递,你要怎么证明这份快递是你的。HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。2.1 什么是 CookieCookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一
前后端分离项目---会话跟踪实现方案--前后端分离使用token拦截校验
Rk的博客
04-25 2039
1、什么是localStorage和sessionStorage? 这两是web Storage 的其中两个,是HTML 5引入的一个重要的功能,在前端开发的过程中会经常用到,它可以在客户端本地存储数据,类似cookie,但其功能却比cookie强大的多。cookie的大小只有4Kb左右(浏览器不同,大小也不同),而web Storage的大小有5MB。 localStorage和sessionStorage都是保存在浏览器中,它们最主要的区别是: 生命周期不同:sessionSt...
cookie session token区别
最新发布
05-19
CookieSession Token区别在于,Cookie 存储在用户的计算机上,而 Session Token 存储在服务器端。因此,Cookie 可以在用户的多个设备之间共享信息,而 Session Token 只能在单个设备上使用。另外,Cookie ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值