登录验证两种方案:token和cookie以及对比

已于 2024-07-01 20:40:44 修改
阅读量479 收藏 1
点赞数
文章标签: http
于 2023-08-13 09:22:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yexudengzhidao/article/details/132256399
版权
这篇博客探讨了登录验证的两种方案——cookie和token,包括它们的工作原理、优缺点及使用场景。现代浏览器开始禁止第三方JS设置cookie,导致安全性提升。同时,介绍了JWT作为token实现方式以及在Egg.js框架中的应用。最后,讨论了数据库操作、ORM和数据库迁移,以及阿里云短信服务在实操中的应用。
摘要由CSDN通过智能技术生成

cookie

HTTP无状态,每次请求都要携带cookie,以帮助识别用户身份;
服务端也可以向客户端set-cookie,cookie大小限制为4kb;
cookie默认有跨域限制,不跨域共享和传递,例如:
在这里插入图片描述

现代浏览器开始禁止第三方JS设置cookie

和跨域限制不同,这里是指禁止网页引入的第三方JS设置cookie,例如你有一个手机性能对比的网站,用户可以在你这个网站上来参考手机的性能,只访问你的网页你是没啥收入的,如果你想获得更多的收入,那么你可以植入一些JD的广告,而广告内容可能是一个图片,代码如下:

<img src="jd.com?info='华为手机'" >

JD广告的js虽然访问不了你的cookie,因为cookie是不跨域共享的,但是可以拿到当前网页中的内容(它一看大概是和手机内容相关的),一旦你曾经登录过JD,那么上面的代码中的请求就会携带上你的cookie信息(jd就会知道你是谁),并顺路带上当前你访问的内容。

当有一天你访问JD时,你就会发现JD给你智能推荐你想要那款华为手机了。

在这里插入图片描述

因此,cookie新增了一个SameSite属性,用来防止CSRF攻击和用户追踪

SameSite有三个值,其中Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

参考链接:cookie和token的区别

cookie 和 session

cookie在客户端,用于登录验证,存储用户标识 如useId;
session在服务端,存储用户详细信息,和cookie信息一一对应;
cookie+session是常见登录验证解决方案;
在这里插入图片描述

为什么要有session:

  1. 安全性
  2. cookie体积小,存储信息有限;
  3. cookie每次都会被携带,http携带信息少的话传输快;

cookie vs token

  • cookie是http规范,会自动传递;而token需要开发者手动自己传递;
  • cookie会被浏览器默认存储;而token需要自己存储(localstorage或sessionStorage);
  • token没有跨域限制;

cookie是官方的登录验证方案,但虽然互联网的发展,cookie暴露出很多限制,因此有了民间发起的token方式,更加灵活。

实现token的方案jwt(json web token)
  1. 前端发起登录,后端验证成功后,返回一个加密的token;
  2. 前端自行存储这个token(其中包括用户信息,加密了的,非对称加密);
  3. 以后访问服务端接口,都会携带这个token,作为验证信息;

token vs cookie 优缺点以及使用场景

参考链接: token vs cookie 优缺点以及使用场景

实战

使用Taro开发微信小程序进行登录

首先用户授权,授权之后通过getUserInfo() 接口获取用户的头像、昵称信息。

在 Egg.js 中,默认情况下 CSRF 中间件只会对 POST、PUT、DELETE、PATCH 等修改性请求进行 CSRF token 校验,而不会对 GET、HEAD、OPTIONS、TRACE 等非修改性请求进行校验。这是为了避免对一些不会对数据进行修改的请求增加额外的复杂性。

安装jwt和redis:

npm install egg-jwt egg-redis --save

TTL

ttl 的全称是 “Time To Live”,它表示缓存的生存时间或剩余生存时间。在缓存系统中,ttl 用来指示一个缓存条目在多长时间内有效,通常以秒为单位。当缓存的 TTL 达到 0 时,缓存条目将被自动清除,即缓存失效。

数据库

MySQL是一个流行的开源关系型数据库管理系统,它是由瑞典公司MySQL AB开发的,并由Oracle公司持有和维护。MySQL采用了客户端-服务器模型,可以在各种操作系统上运行,包括Linux、Windows和macOS等。它支持SQL(Structured Query Language)作为查询语言,并提供了丰富的功能和工具,使用户能够管理和操作数据库。MySQL被广泛应用于Web应用程序开发、数据存储和管理等领域,因其高性能、可靠性和易用性而备受青睐。

Redis是一个开源的内存数据库(In-Memory Database),也被称为数据结构服务器。它提供了一个键值对存储系统,并支持多种数据结构,如字符串(Strings)、哈希(Hashes)、列表(Lists)、集合(Sets)、有序集合(Sorted Sets)等。Redis以其高性能、灵活性和丰富的功能而闻名,被广泛应用于缓存、会话存储、消息队列等场景。<

最低0.47元/天 解锁文章
. . . . .
关注
Token + Cookie 登录验证
YUAN_YONG_的博客
07-21 2043
一、完整流程 1.登录:通过用户名和密码发送请求。 2.服务器端程序验证用户身份的合法性,若用户存在,服务器端程序则返回一个带签名的token。 3.客户端将token储存到cookie中,并且每次访问API都携带Token到服务端。 4.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码。 二、具体实现 1、用户首次发起登录请求,携带用户名和密码 2、服务端首先进行用户身份校验,若存在该用户,则生成token。 Controller: @ApiOperation("登录") @R
sso单点登录的原理详解,及Shiro同时支持Session和JWT Token两种认证方式,和Session和JWT整合方案
阿啄debugIT
08-25 1168
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
Cookie、Session和Token三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
session、cookietoken概念介绍
最新发布
liangkk的博客
08-22 1217
维持用户的登录状态信息是互联网应用程序中的一个核心功能,它确保了用户在登录后能够持续享受应用程序提供的各项服务,而无需在每次请求时都重新进行身份验证。这一过程经历了从简单的会话管理到更复杂的令牌(Token)机制的发展
CookieToken 的区别?
a2986467829的博客
06-27 6909
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
cookietoken的理解
weixin_30894583的博客
03-01 300
cookietoken的理解 注:内容为参考并组织得来,仅作为个人学习笔记 HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie 数...
认识Tokencookie和session
greattankevin的博客
06-26 304
在web开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),一个浏览器独占一个session对象(默认情况下),因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其他程序时,其他程序可以从用户的session中取出该用户的数据,为用户服务。① Cookie是把用户数据写给用户的浏览器,Session是把用户的数据写给用户独占的session。⑤ 服务端验证cookie是否正确,正确则返回请求数据,错误则返回失败信息。
CookieToken 的区别
qq_44376306的博客
04-14 208
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)cookie
03-tokencookie区别.md
03-31
在对HTTP网络协议进行深入了解时,我们常常会遇到cookietoken这两个概念。它们在Web应用中的作用是相似的,主要是为了客户端的身份验证cookieHTTP协议中的一种机制,它允许服务器让客户端存储少量数据。每次...
详解cookie验证的php应用的一种SSO解决办法
10-19
SSO(Single Sign-On)是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次认证即可访问其他关联的应用系统。在PHP环境中,利用Cookie进行SSO实现是一种常见方法。本文将详细介绍一种基于Cookie验证的...
JWT产生和验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
CookieToken
qq_43606870的博客
07-25 932
前言 本文将首先概述基于cookie的身份验证方式和基于token的身份验证方式,在此基础上对两种验证进行比较。 最后将介绍JWT(主要是翻译官网介绍)。 概述 HTTP是一个“无状态”协议,这意味着Web应用程序服务器在响应客户端请求时不会将多个请求链接到任何一个客户端。然而,许多Web应用程序的安全和正常运行都取决于系统能够区分用户并识别用户及其权限。 这就需要一些机制来为一个HTTP请求提供状态。它们使站点能够在会话期间对各用户做出适当的响应,从而保持跟踪用户在应用程序中的活动(请求和响...
CookieToken 的优缺点
一只猫
01-17 809
综上所述,CookieToken 各有优缺点,选择哪种方式取决于具体的需求和安全要求。通常情况下,如果对安全性要求比较高,推荐使用 Token;如果对安全性要求不是很高,且需要简单易用的方案,可以选择 CookieCookieToken 都是常见的身份验证和会话管理机制,它们各自有优缺点,需要根据具体需求来选择合适的方案
tokencookie的区别
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
权限认证 cookie VS token
qingyangfeng的博客
08-03 280
https://www.cnblogs.com/lihuanqing/p/8485071.html
Cookie,Session与Token
weixin_46120888的博客
12-23 147
1.Cookie和Session Cookie是保存在用户客户端的小型文本文件,里面记录了用户唯一的ID用以区分不同的用户。Cookie的出现主要是针对HTTP协议的无状态性,HTTP协议不会记录之前的信息,完成一次请求和响应之后就会释放连接,也就是说你登录之后做任何操作都要重新输入用户名和密码。所以Cookie应运而生,当客户端首次向服务器发起请求时,服务端会返回一个sessionId存储在Cookie中返回给客户端,下次客户端请求就会将这个Cookie放在请求头中向服务器发起请求并根据其中的sessio
网络请求中,tokencookie有什么区别?
weixin_43850639的博客
04-06 1491
2、cookieHTTP标准,跨域限制,配合session使用,而token无标准,自定义传递,无跨域限制,用于JWT(也就是说cookie不用管它,自动传递,但是token不行,需要明确地传值才可以传过去,token就像一个参数,不加就不传,cookie是只要域名符合,不跨域就会自动传)4、 最初使用官方的cookie解决登录验证问题,但是cookie问题太多,出现了来自民间的Token解决方案cookie比较学院派,token比较灵活的。
cookie和Session和token
u010550534的专栏
04-03 653
今天来说下cookie、Session、token 大家在学习HTTP协议的时候,都看到说HTTP协议是无状态的,无状态是什么意思呢,就是一次请求、响应和下一次请求、响应是没有联系的,服务器不知道上下文关系 所以产生了cookie这个概念,cookie就是浏览器(客户端)向服务器发送请求时会携带的一个东西,这样服务器就会识别客户端的身份了,cookie是怎么产生的呢,是服务器产生cookie
2021-04-25
liu870915的专栏
04-25 153
Cookie、Session和Token都是用来做持久化处理的,目的就是让客户端和服务端互相认识。HTTP请求默认是不持久的,没有状态的,谁也不认识谁的。 1、Cookie Cookie是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 Cookie由服务器生成,通过响应头Set-Cookie字段发送给浏览器,浏览器把Cookie以key value形式保存到某个目录下的文本文件里,下一次请求同一网站时会把该Cookie发送给服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

. . . . .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值