Cookie和Session的区别、工作流程是什么?全网最详细!

已于 2023-05-02 11:20:21 修改
阅读量3.7k 收藏 25
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 网络协议 JDBC编程 面试总结 文章标签: 服务器 前端 数据库 servlet Session
于 2022-11-23 21:10:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CYK_byte/article/details/128004499
本文深入探讨了Cookie和Session的概念、区别以及它们在用户登录过程中的工作流程。Cookie是存储在客户端的数据,用于跟踪用户状态,而Session是服务器端存储用户信息的方式。文章通过一个用户登录的例子,阐述了Cookie和Session如何协同工作,同时提供了相关代码实现。重点讨论了它们在安全性、存储位置、容量、时间和数据类型等方面的不同,并强调了在实际应用中的注意事项。

目录

前言

一、Cookie

1.1、Cookie从哪里来?

1.2、Cookie到哪里去?

二、Session

2.1、什么是sessionId?

三、Cookie和Session的区别

1.作用的对象不同

2.安全性不同

3.存储的位置不同

4.存储容量不同

5.存储时间不同

6.存储的数据类型不同

7.使用习惯上

8.存储习惯上

四、Cookie和Session的具体工作流程

五、代码实现用户登录

5.1、核心方法

5.2、代码

前言

        想要了解Cookie和Session的工作流程,首先需要来了解一下什么是Cookie,什么是Session?之后我将会用一个用户登录(附加:前端+后端 代码)的栗子,让你通透整个工作流程;

一、Cookie

        有时候需要让网页存储一些简单数据,但由于网页禁止js访问电脑硬盘(原因:安全性),所以就提供了特殊的api给网页用,Cookie就是最经典的一个方案,是浏览器在本地存储数据(存储到硬盘上)的一种机制;

 Cookie如何组织信息的?键值对的形式!(如下图)

Cookie是用来存放什么数据的?

了解本专栏 订阅专栏 解锁全文
cookiesession区别
12-18
这是一份关于cookiesession的知识文档,有关于cookie是什么,图解,cookie对比session有哪些不好,session是什么图解
全网多种方法分析解决HTTP Status 404资源未找到的错误,TCP的3次握手,dns域名解析,发起http请求以及cookiesession区别
念兮为美
02-17 1万+
全网多种方法分析解决HTTP Status 404资源未找到的错误,TCP的3次握手,dns域名解析,发起http请求以及cookiesession区别,ChatGPT的介绍。
深入理解SessionCookie全网全)
2301_79108772的博客
07-15 2848
当用户进行登录的适合,服务端会将登录态信息(文本信息,一般是个json数据)返回给客户端,客户端进行存储这些登录态信息,当下次进行请求服务端接口的时候,会进行携带这些登录态信息。Cookie会被存储到请求标头中,是一个键值对信息文本,多个键值对使用;进行区分。Session时服务端的一种存储机制,用来进行跟踪用户的状态,Session在用户与服务器简历连接后创建,并在用户退出或者Session超时后销毁,并且Session默认是依赖于Cookie的(Session可以不依赖于Cookie)。
一文搞懂 CookieSession、Token 的区别(有点细)
最新发布
技术分享
09-27 786
本文通俗易懂地解释了CookieSessionToken的区别及其应用场景。Cookie是存储在客户端的小型文本文件,用于记住登录状态等;Session是服务端维护的用户状态容器,依赖Cookie中的sessionId来识别用户;Token则是加密的客户端认证凭证,支持跨域无状态验证。三者在存储位置、安全性、跨域支持典型应用等方面存在显著差异。实际开发中,应根据需求选择合适的技术:Cookie适合客户端数据存储,Session适合服务端状态管理,而Token则适用于前后端分离分布式系统。
session cookie
somanygenius的博客
06-13 405
链接:https://www.zhihu.com/question/19786827/answer/28752144 来源:知乎 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的
关于sessioncookie区别
北风的专栏
04-20 7281
Session是由应用服务器维持的一个服务器端的存储空间,用户在连接服务器时,会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。而SessionID这一数据则是保存到客户端,用Cookie保存的,用户提交页面时,会将这一 SessionID提交到服务器端,来存取Session数据。这一过程,是不用开发人员干预的。所以一旦客户端禁用C
CookieSession区别
测试界的彭于晏的博客
02-22 5253
前言: cookiesession有着千丝万缕的联系,本文将详细介绍2者的区别。 1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB,一个站点多保存20个Cookie。 对于session来说并没有上限,但出于对服务器端的性能考虑,session内不要存放过多的东西,并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符
护网面试题汇总,全网详细
hackers110的博客
09-15 991
护网面试重点知识摘要: 基础漏洞:包括端口服务漏洞(FTP匿名访问、SSH弱口令等)、数据库漏洞(MySQL/Oracle弱口令)、Web中间件漏洞(Tomcat/JBoss)、服务器漏洞(IIS/Nginx)。 应急响应流程:准备工具→判断事件类型→抑制影响→封堵攻击源→恢复业务→监控改进。 Java反序列化漏洞:利用工具生成Payload执行代码或命令,常用于写Webshell。 UDF提权:通过MySQL自定义函数提权,需满足系统条件及权限要求。 Webshell获取与提权:可通过MSSQL、FTP溢
JavaWeb——Servlet全网详细教程)
2201_75955594的博客
04-18 1万+
JavaWeb技术之Servlet
全网细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录用户认证是一个网站基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
sessioncookie
二月鸟
09-20 544
http无状态之所以能保存 因为session 1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB,一个站点多保存20个Cookie。 对于session来说并没有上限,但出于对服务器端的性能考虑,session内不要存放过多的东西,并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符串,并需要通过编码方式存储为Unicode字符或者二进制数据。 sess
CookieSession区别!!!
qq_64847107的博客
03-05 813
Cookie可以设置存活时间,Session一般不设置存活时间tomcat中默认的是30分钟,同时Session的生命周期用户的浏览器相关联。:Cookie默认的存储大小为4kb,一个站点多能保存20个cookieCookie一般用于保存非敏感的数据,Session一般用于保存用户的敏感信息。:Cookie存储在客户端可能会遭受攻击,Session存储在服务器相对安全。Cookie存储在客户端浏览器中,Session存储在服务器。:Cookie存储的是字符串,Session可以存储对象类型。
cookiesession区别
一个普本码农奋斗史
11-21 2605
写在前面 近在开发手机端的登陆功能,做到登陆自然而然就会涉及关于会话跟踪方面的知识。说到会话跟踪技术 :cookiesession,虽然以前在学校学过个大概,也知道有这样的说法:cookie是在客户端的,session是在服务器端的。显然知道这些还不够,所以还是决定深入研究一下。 先说说历史 大家都知道web程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,
session cookie 有什么区别
syilt的博客
05-28 339
存储位置不同:session 存储在服务器端;cookie 存储在浏览器端。 安全性不同:cookie 安全性一般,在浏览器存储,可以被伪造修改。 容量个数限制:cookie 有容量限制,每个站点下的 cookie 也有个数限制。 存储的多样性:session 可以存储在 Redis 中、数据库中、应用程序中;而 cookie 只能存储在浏览器中。 ...
SessionCookie区别
m0_59281987的博客
10-17 2087
SessionCookie区别
CookieSession区别
Zero_pl的博客
03-02 2089
问题(即每次请求都是独立的,不会记住之前的状态)。,解决 HTTP 协议的。等方面存在明显区别。在 Web 开发中,
你说一说JWT是干什么用的
04-19
<think>嗯,用户现在想了解JWT的用途以及前后端如何传输Token。首先,我需要回顾之前的对话,确保回答的一致性。之前我详细讲了前后端传递Token的流程,包括登录获取Token、存储、携带、验证以及安全措施。用户现在的问题更聚焦在JWT本身的作用传输方式,所以需要结合之前的回答提供的引用资料来组织内容。 首先,JWT的作用。根据引用[3],JWT是用于在网络应用间传递声明的一种开放标准,主要用于身份认证信息交换。引用[2]提到JWT与传统Token的区别在于不需要查库验证,因为信息已经包含在Token中,所以可以减轻服务器负担。需要强调JWT的三大用途:身份认证、安全数据传输跨系统单点登录。 然后,前后端传输Token的方式。之前回答中提到了前端存储Token的方式(localStorage、sessionStorage、Cookie),以及如何通过Authorization头传递。引用[5]展示了前端登录发送请求的代码示例,可以引用这部分说明前端如何发送Token。同时,引用[2]提到后端生成JWT并返回给前端,验证时检查签名、过期时间等,这部分需要详细说明。 还需要注意安全性问题,比如使用HTTPS(引用[2])、防范XSSCSRF攻击(之前的回答提到过),以及Token的有效期刷新机制。引用[4]讨论了JWT的优缺点,比如无法及时废止的问题,可以建议结合黑名单或短期有效来缓解。 另外,用户可能对JWT的结构感兴趣,根据引用[1],JWT由Header、Payload、Signature组成,各部分的作用需要简要说明。引用[4]中的结构说明部分也可以补充进去。 后,生成的相关问题需要覆盖JWT的安全隐患、与传统Token的对比、刷新机制实际应用场景,确保用户有进一步了解的方向。</think>#### 一、JWT的核心作用 1. **身份认证** JWT通过数字签名实现**无状态身份验证**,服务器无需存储会话信息[^3]。 - 用户登录后,后端生成包含用户ID、角色、权限等信息的JWT - 前端后续请求携带JWT,后端通过验证签名即可确认用户身份 - 示例JWT解码结果: ```json { "sub": "user123", "role": "admin", "exp": 1720298400 } ``` 2. **安全数据传输** JWT的Payload可加密存储敏感数据,如: ```javascript // 后端生成示例 const token = jwt.sign( { userId: 1001, org: "A公司" }, 'secret_key', { expiresIn: '2h' } ); ``` 3. **跨系统单点登录(SSO)** 多个子系统共享同一JWT签发方时,可实现一次登录全网通行[^3]。 #### 二、前后端Token传输实现 1. **前端处理流程** - **登录获取Token** ```javascript // 引用[5]的扩展实现 async function login() { const res = await axios.post('/api/login', { username: 'user1', password: 'P@ssw0rd' // 实际需加密传输[^2] }); localStorage.setItem('jwt', res.data.token); } ``` - **请求携带Token** ```javascript axios.interceptors.request.use(config => { const token = localStorage.getItem('jwt'); if (token) { config.headers.Authorization = `Bearer ${token}`; // 标准传输格式[^2] } return config; }); ``` 2. **后端验证机制** - **签名验证** 使用相同密钥验证Header+Payload的签名一致性[^1]: ```java // 基于引用[1]的Java实现 public boolean verifyToken(String token) { try { Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token); return true; } catch (JwtException e) { return false; } } ``` - **声明(Claims)解析** ```java Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); String userId = claims.get("userId", String.class); ``` #### 三、JWT安全设计要点 1. **传输安全** - 强制HTTPS协议防止中间人攻击[^2] - 避免URL参数传递Token(防止日志泄露) 2. **存储安全** - 浏览器端优先使用`HttpOnly`+`Secure` Cookie[^5] - 移动端使用安全存储模块(如Android KeyStore) 3. **令牌生命周期** ```mermaid graph LR AccessToken(2小时有效) -->|过期| RefreshToken RefreshToken(7天有效) -->|换取新| AccessToken ``` #### 四、JWT与传统Token对比 | 特性 | JWT | 传统Session Token | |---------------------|------------------------------|-------------------------| | 服务器存储 | 无状态 | 需要会话存储 | | 数据载体 | 自包含用户信息 | 仅为随机字符串 | | 验证方式 | 签名算法验证[^1] | 数据库查询验证[^2] | | 跨域支持 | 天然支持 | 需额外配置 |
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈亦康

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值