IT人必须弄懂的——cookie、session 和 token 区别

最新推荐文章于 2024-06-08 16:00:00 发布
最新推荐文章于 2024-06-08 16:00:00 发布
阅读量489 收藏 4
点赞数 1
分类专栏: 软件测试 自动化测试 Python 文章标签: python session 软件测试 自动化测试 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Asaasa1/article/details/108664767
版权

1、什么是 cookie

cookie 是保存在本地终端的数据。cookie 由服务器生成,发送给浏览器,浏览器把 cookie 以 kv 形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该 cookie 发送给服务器。由于 cookie 是存在客户端上的,所以浏览器加入了一些限制确保 cookie 不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的 cookie 数量是有限的。

cookie 的组成有:名称( key )、值( value )、有效域( domain )、路径(域的路径,一般设置为全局:"")、失效时间、安全标志(指定后,cookie 只有在使用 SSL 连接时才发送到服务器( https ))。下面是一个简单的 js 使用 cookie 的例子:

用户登录时产生 cookie:

document.cookie = "id="+result.data['id']+"; path=/";

document.cookie = "name="+result.data['name']+"; path=/";

document.cookie = "avatar="+result.data['avatar']+"; path=/";

使用到 cookie 时做如下解析:

var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {

    user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];

}

$('#user_name').text(user_info[' name']);

$('#user_avatar').attr("src", user_info[' avatar']);

$('#user_id').val(user_info[' id']);

2、什么是 session

session 的中文翻译是"会话",当用户打开某个 web 应用时,便与 web 服务器产生一次 session。服务器使用 session 把用户的信息临时保存在了服务器上,用户离开网站后 session 会被销毁。这种用户信息存储方式相对 cookie 来说更安全,可是 session 有一个缺陷:如果 web 服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候 session会丢失。

session 认证流程:

  • 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session

  • 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器

  • 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID
    属于哪个域名

  • 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie
    信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session
    信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。

  • 根据以上流程可知,SessionID 是连接 Cookie 和 Session 的一道桥梁,大部分系统也是根据此原理来验证用户登录状态。

在这里插入图片描述

3、什么是token

token 的意思是"令牌",是用户身份的验证方式,最简单的 token 组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由 token 的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token 请求服务器)。还可以把不变的参数也放进 token,避免多次查库

token 的身份验证流程:

  • 客户端使用用户名跟密码请求登录

  • 服务端收到请求,去验证用户名与密码

  • 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端

  • 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage 里

  • 客户端每次向服务端请求资源的时候需要带着服务端签发的 token

  • 服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据

在这里插入图片描述
在这里插入图片描述

4、cookie 和session的区别

  • cookie 数据存放在客户的浏览器上,session 数据放在服务器上

  • cookie 不是很安全,别人可以分析存放在本地的 cookie 并进行 cookie 欺骗,考虑到安全应当使用 session

  • session 会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用 cookie

  • 单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存20个 cookie

点赞关注~持续分享,加入我们,642830685,群内免费领取最新软件测试大厂面试资料和Python自动化、接口、框架搭建学习资料!技术大牛解惑答疑,同行一起交流。

用了这么久,tokensession区别,你真的清楚了吗?
07-29 678
sessiontoken都是用来保持会话,功能相同 一、session机制,原理 session是服务端存储的一个对象,主要用来存储所有访问过该服务端的客户端的用户信息(也可以存储其他信息),从而实现保持用户会话状态。但是服务器重启时,内存会被销毁,存储的用户信息也就消失了。 不同的用户访问服务端的时候会在session对象中存储键值对,“键”用来存储开启这个用户信息的“钥匙”,在登录成功后,“钥匙”通过cookie返回给客户端,客户端存储为sessionId记录在cookie中。当客户端.
sessioncookie有什么区别,分别适用什么场景?
IT修真院:初学者转行到互联网的聚集地
04-08 1127
大家好,我是IT修真院郑州分院一枚正直纯洁善良的后端程序员,今天给大家分享一下,修真院官网java(职业)任务5, 深度思考中的知识点——sessioncookie有什么区别,分别适用什么场景? 1.背景介绍 什么是sessionsession 从字面上讲,就是会话。 HTTP是无状态协议,也就是没有记忆力的协议,每个请求之间无法共享数据。 这就无法知道会话什么时...
sessiontoken区别
qq_43211295的博客
09-28 311
sessiontoken有什么区别? 众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。 什么是Session机制? Session是存储在服务器端的,当浏览器第一次请求Web服务器,服务器会产生一个Session存放在服务器里(可持久化到数据库中),然后通过响应头的方式将SessionID返回给浏览器写入到Cookie中,浏览器下次请求就会将SessiondID以Cookie形式传递给服务器端,服务器端获取SessionID
cookiesessiontoken区别
debugmyworld
12-11 4233
HTTP 是无状态的,HTTP 请求方响应方间无法维护状态,都是一次性的,它不知道前后的请求都发生了什么。但有的场景下,我们需要维护状态。最典型的,一个用户登陆微博,发布、关注、评论,都应是在登录后的用户状态下的。为了维持前后请求,需要前端存储标记 cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 session 是一种状态管理方案,前端通过 cookie 存储 id(session id),后端存储数据(redis库sessi..
session cookie token 区别
Alice_1011的小屋
04-26 1379
session cookie token区别
sessiontoken区别
学亮编程手记
11-30 697
综上所述,SessionToken在存储位置、服务器状态、数据存储、安全性扩展性等方面有所不同。选择使用哪种机制取决于具体的应用场景需求,以及安全性、性能用户体验等因素的权衡。在实际应用中,SessionToken也可以结合使用,以实现更全面灵活的身份验证状态管理。
Python接口自动化 —— token登录(详解)_token接口
m0_61068088的博客
04-29 1460
Token是服务端端生成的一串字符串,作为客户端进行请求时辨别客户身份的的一个令牌。当用户第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名密码。2、使用Token的目的:Token的目的是为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
5 - django-csrf-session&cookie
大欣的IT之路
03-28 627
文章目录1 CSRF跨站请求伪造1.1 CSRF攻击介绍及防御1.2 防御CSRF攻击1.2.1 验证 HTTP Referer 字段1.2.2 在请求地址中添加 token 并验证1.2.3 在 HTTP 头中自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
深入理解SessionCookie机制
2. 防止跨站请求伪造(CSRF):使用CSRF Token配合CookieSession来验证请求来源。 3. 优化性能:对于大型网站,可以使用分布式session存储负载均衡策略来减轻单台服务器压力。 了解熟练掌握cookiesession的...
【服务器】Nginx + 反向代理 + 负载均衡 + Session Cookie
IN THE ZONE
05-20 1717
下载 brew install nginx /usr/local/etc/nginx/nginx.conf (配置文件路径) /usr/local/var/www (服务器默认路径) /usr/local/Cellar/nginx/1.8.0 (安装路径) A CA file has been bootstrapped using certificates from the SystemRoots...
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Tokensession区别
m0_53856016的博客
09-14 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Toke n便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名密码。二、什么是session?服务器为了保存用户状态而创建的一个特殊的对象。当浏览器第一次访问服务器时,服务器创建一个session对象(该对象有一个唯一的id,一般称之为。
应用Token的流程作用
neu_zhsh的博客
06-16 2782
应用程序Token的联系 android系统中,Binder有两个重要的用途: 获取Binder地址,进行跨进程调用; 在多个进程中标识身份,确保调用安全。 android中Token就是以Binder的身份出现,主要进行身份的标识,验证。 步骤一 当桌面点击图标,启动一个普通的应用程序的时候。框架AMS解析传入的intent,生成了ActivityRecord对象。 步骤二
SESSION 小结
IT修真院:初学者转行到互联网的聚集地
05-11 179
这里是修真院后端小课堂,每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析后端知识/技能,本篇分享的是: 【SESSION 小结 】 PPT链接:https://ptteng.github.io/PPT/PPT-java/java_task_05_whatissession.html#/ 视频链接:https...
什么是tokentoken是用来干嘛的?
热门推荐
青春木鱼的博客
09-25 22万+
token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。说白了token是一个身份卡,有权限的作用
一文读懂:token到底是个啥?
最新发布
zhishi0000的博客
06-08 2911
前些年随着互联网的普及,token一词逐步被越来越多的熟知,再加上后来区块链技术的成熟应用,token也被用在了加密货币领域,再到当下火热的AGI大模型,当你在聊天聊到token,不知道具体含义时,请不要错过本篇文章,我将尽可能在保持原意的前提下,以大白话式的方式从互联网软件开发、区块链加密货币、AGI大模型三个领域为你揭开token的神秘面纱。目录。
Session,Token相关区别
赵个赵的博客
08-28 1157
Session,Token相关区别 1. 为什么要有session的出现? 答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。 2. session生成方式? 答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是se...
登录鉴权方案中,sessiontokencookie三者的区别及选择
Tec Log
08-16 4561
目前web常用的登录鉴权方案主要有3种,分别是sessiontokencookie,每种方案都有其特定应用场景局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
cookie session token区别
04-26
CookieSession是用于Web应用程序的用户状态跟踪管理的机制,而Token则是用于身份验证身份验证的机制。 Cookie是由服务器发送到客户端的小数据文件。 该文件通常包含一个唯一的标识符,以便将客户端与服务器上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值