当浏览器遇上服务器:解密Cookie/Session/Token三件套(必看干货)

最新推荐文章于 2025-08-04 07:10:49 发布
原创 最新推荐文章于 2025-08-04 07:10:49 发布 · 1.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #其他

文章目录

一、从银行办业务说起(场景带入)

老铁们想象一下这样的场景:你去银行柜台办业务(经典比喻又来了)

  • 第一次办理:柜员让你填表(创建session)
  • 二次办理:柜员拿出你的档案袋(读取session)
  • 问题来了:如果每天有100万人办业务,银行要准备多少档案柜?(服务器存储压力)

这时候三种解决方案应运而生:

  1. Cookie方案:把客户资料存在你的钱包里(客户端存储)
  2. Session方案:银行租个大仓库存档案(服务端存储)
  3. Token方案:给你个加密钢印戒指(无状态验证)

二、Cookie:带着小纸条的浏览器

运行原理(超直白版)

// 服务器说:存着这个!
response.setHeader('Set-Cookie', 'userID=9527')

// 浏览器说:给你之前的纸条
request.headers.get('Cookie') // userID=9527

使用场景举例

  • 记住用户语言偏好
  • 保持购物车信息
  • 广告追踪(这个要慎用!!)

致命缺陷(划重点)

  1. 容量限制:4KB上限(存不了大文件)
  2. 安全隐患:XSS跨站脚本攻击(偷cookie太容易了)
  3. 禁用风险:用户可能关闭cookie功能

三、Session:服务器的大账本

工作流程(带你看源码)

# 生成sessionID(重点!)
session_id = generate_random_string(32)

# 服务器存数据
session_store[session_id] = {
    'user_id': 9527,
    'last_login': '2023-08-20'
}

# 通过cookie传递sessionID
response.set_cookie('sessionID', session_id)

性能优化技巧

  • Redis集群存储(别用文件系统!)
  • 合理设置过期时间(别让session堆积成山)
  • 分布式一致性处理(集群环境下的坑)

四、Token:新时代的通行证

JWT结构拆解(图示法)

header.payload.signature
┌─────────┬─────────────┬──────────┐
│ 加密算法 │ 用户数据     │ 数字签名  │
└─────────┴─────────────┴──────────┘

代码实战(Node.js版)

// 生成token
const token = jwt.sign(
  { user: 'jack' }, 
  'secret_key',
  { expiresIn: '2h' }
);

// 验证token
jwt.verify(token, 'secret_key', (err, decoded) => {
  console.log(decoded.user) // jack
});

五、三剑客对比表格(收藏级干货)

维度CookieSessionToken
存储位置浏览器服务器客户端
安全性低(易被窃取)中(依赖sessionID)高(签名验证)
扩展性差(同源限制)一般(需共享存储)好(天然支持分布式)
适用场景简单状态保持传统Web应用前后端分离/API调用
性能影响服务器内存/存储压力解密计算开销

六、实战选型指南(避坑经验)

企业级方案推荐

  1. 金融系统:Session + Redis集群(安全第一)
  2. 电商平台:Token + 短时Cookie(兼顾体验与安全)
  3. 物联网设备:Token + 硬件加密(省流量保安全)

常见误区警示(血泪教训)

  • ❌ Token不需要加密存储(大错特错!)
  • ❌ SessionID直接放URL(等着被劫持吧)
  • ❌ Cookie存敏感信息(等着上新闻吧)

七、安全加固方案(进阶技巧)

防御套餐推荐

  1. HTTPS强制使用(基础中的基础)
  2. SameSite属性设置(防CSRF利器)
  3. HttpOnly + Secure双保险(防XSS必备)
  4. 动态刷新机制(防重放攻击)

监控指标清单

  • Cookie盗用报警
  • Session超限预警
  • Token异常刷新检测

八、未来趋势预测(技术前瞻)

  1. 无状态化:Token方案持续演进
  2. 生物特征:指纹/虹膜认证融合
  3. 区块链存储:分布式身份验证
  4. 量子加密:应对未来算力挑战

结语(灵魂拷问)

下次面试官再问这三者区别,你能脱口而出:Cookie是带在身上工作证,Session是公司内部档案,Token是防伪数字证书!搞懂了这些,Web安全的大门才算真正向你敞开~(记得动手实践!)

CodeHorizon
关注
高频网络协议与编程IO相关面试基本问题和知识点整理
张彦峰的博客
04-07 172万+
网络IO相关基本高频面试基本问题和知识点整合
IM开发基础知识补课():正确理解HTTP短连接中的CookieSessionToken
weixin_34014277的博客
04-09 1622
本文引用了简书作者“骑小猪看流星”技术文章“CookieSessionToken那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
php 解密session字符串
后端菜鸡
04-07 2088
/** * php 解密session字符串(官方写法) * @param string $session_string session字符串 * @return array */ public function decodeSession(string $session_string) { $current_session = session_encode(); foreach ($_SESSION as $key => $value) { unset($_S
[HCTF 2018]admin --- flask session 的加密解密
生死看淡,不服就干的博客
03-19 6681
进入靶场,没什么特殊页面,如果运气足够好的话,账号:admin,密码:123,否则注册一个用户,然后登录抓包,看能否得到有用信息 后续的一个包,也没什么有用信息,看到 session 这部分,应该是base64编码,尝试了解码未得到结果,登录成功后,尝试其他功能看能否得到有用信息 修改密码部分,网页源码中有端倪 访问地址,发现更多有用信息,flask 是 python 的 web 端框架,赶紧搜索了一下 flask session Flask的session使用 利用 flask中sessi..
破解Session cookie的方法
Spirit
08-13 1150
所谓的 session cookie, 就是站台在你登录成功后,送上一个 cookie,表示你已经通过验证,但与一般cookie不同的是,他并不会存在你的硬盘上,也就是说:在你离开浏览器之后,就会消失,也就是意味:下次你重开浏览器,再进此站,此 cookie 已经不见了。那么,要怎么让这个 cookie 永远有效呢?说永远太久了我们就来个 50 年不变吧...以下是代码片段:set win=ext
解密Web安全:SessionCookieToken的不解之谜
todoitbo的博客
10-19 6937
web安全;session;cookie;token
【Linux篇章】互联网身份密码:解密 SessionCookie 的隐藏玩法和致命漏洞!
最新发布
羑悻的博客.
08-04 1万+
关于CookieSession的介绍,在本篇,将会介绍Cookie的由来,作用,以及缺点等,进而引出Session,最后介绍一下它们的性质等,以接我们上文模拟实现的http服务器加上这两个功能做测试,来验证上述的成立性!
SPA登录实现+JWT生成Token+cookie携带Token+代码
王某的博客
03-27 9067
理论知识 Token JWT 干货 如何存储token,前后端如何用token进行“交流” 总的思路之文字说明 总的思路之流程图说明 完整代码之token 注意 SPA单页面登录其他代码 参考 ——————————————————- 理论知识 前言:本人承诺,本文是在查阅了大量资料并且实践了之后的用心写作。 Token 理论参考:SSO单点登录使用to...
网络安全之路:我的系统性渗透测试学习框架
03-19 2246
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔记中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅记录本人当时学习时任然不知的相关知识。笔记草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
【总结】一篇关于flask框架开发的知识点汇总手册(纯干货
Null的博客
06-17 3300
1、针对flask框架的web项目 html文件写在templates文件夹里面 css文件还有静态资源(例如图片)放在static文件夹里面,直接访问 localhost:80/static/a.jpg 应用程序根目录是根据初始化app=Flask(__name__)的时候的代码在哪就决定了哪里是根目录 更改flask的默认设置静态资源位置: static_folder app...
Session解析
weixin_67118509的博客
11-15 864
Session
JavaWeb学习总结(十二)——Session
weixin_34411563的博客
07-23 1670
一、Session简单介绍   在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。 二、SessionCookie的...
SessionID漏洞
CH3UHX9
02-28 2093
漏洞原理 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话Session 并且生成一个SessionID。 SessionID在响应浏览器的时候会被加载到cookie中,并保存到浏览器中。 当用户再一次访问服务程序时,请求中会携带着cookie中的SessionID去访问服务器服务器会根据这个SessionID去查看是否有对应的Session对象,有则使用,没有就新创建一个Session。 漏洞介绍 如果SessionID的构造原理太简单,就很容易被别人仿造。 仿造了Session
flask的session
weixin_56468833的博客
08-02 570
flask的session没有在服务端存储数据后期扩展可以将session存入redis。
python web编程一:tokensessioncookie、密码加解密
谁家的喵
09-24 842
HTTP协议是无状态协议,为了解决它产生了cookiesession技术。session idsession idsession idsession idsessionsessionsessionsession idsession idsessioncookie服务器端保存着大量session信息,很消耗服务器内存,而且如果多服务器部署,还要考虑session共享的问题,比如等方案。
身份认证——session认证机制与JWT认证机制(入门到使用)
世界和我们都不该止步于此
04-19 4728
首先我们要了解什么是身份认证(Authentication)? 身份认证也叫身份验证或者鉴权,指通过一定的手段来完成对用户身份的验证 我们会使用session和JWT认证机制进行开发,那么我们在什么情况下使用这俩个认证机制呢? 推荐在服务端渲染开发情况下使用session认证机制 在前后端分离的Web开发环境下使用JWT认证机制 目录 一.session认证机制 1.HTTP协议的无状态性 2.Cookie突破HTTP无状态的限制 3.Cookie的缺点 4.提高身份认证的安全性 5.
Java获取openid、session_key以及解密用户私密数据(UnionId或手机号)
Chengqb的博客
05-29 1万+
Java获取openid、session_key以及解密用户私密数据目录1、引入依赖包2、创建工具类(2个:HTTP请求工具类与解密工具类)3、获取openid和session_key(后端)4、解密(后端) 1、引入依赖包    在开始解密之前,需先引入org.bouncycastle:bcprov-jdk16-1.46.jar      (1)直接下载 jar包,放入 本机 jre/lib/e...
加密收藏片段
guo583的专栏
05-28 179
当然,这不是足够安全的做法。足够安全的做法就是服务器端产生session key以后,是用PKI的方式来加密sessioin key的,PKI属于非对称加密,非常可靠但效率比较低,session key则是对称加密,效率比较高但安全性较差。用PKI的方式加密session key进行传输,就结合了这两者的优点,既可以保证session key的安全传输到通讯的另一端,然后正常的通讯又都是采用ses...
获得session_key和openId(加解密、签名系列)
hanren163的博客
12-26 417
1:session_key和openId是什么?session_key 官方说明为: session_key是微信服务器生成的针对用户数据进行加密签名的密钥 session_key的用途 (1)对wx.getUserInfo()接口得到“用户信息中的密文”进行解密。 (2)对它“稍作处理”,用作维护小程序的登录态。 “稍微处理”大体为: (1)生成一个随机数(官方把他叫做3rd_...
cookie/session/token的区别以及实现过程?
04-18
<think>好的,我现在需要帮助用户理解CookieSessionToken之间的区别以及它们的实现机制。首先,我得回忆一下这三个概念各自的作用和特点,然后整理它们的区别和实现方式。根据用户提供的引用内容,我需要确保信息准确并正确引用相关部分。 首先,Cookie是存储在客户端的小型数据片段,通常由服务器通过Set-Cookie头设置,浏览器会自动保存并在后续请求中携带。Session则存储在服务器端,依赖Cookie中的Session ID来识别客户端。而Token,比如JWT,是自包含的令牌,客户端需要手动存储并在请求时发送,通常放在Authorization头中。 接下来,我需要分别解释三者的定义、生命周期、存储位置和通信方式。例如,Cookie有会话性和持久性两种生命周期,存储在客户端,自动携带;Session存储在服务器,通过Session ID关联,可能涉及服务器集群的问题;Token无需服务器存储,自包含验证信息,客户端手动处理。 然后要比较它们的区别,比如存储位置、安全性、扩展性等方面。例如,Session存在服务器,可能影响扩展性,而Token无状态,适合分布式系统。同时,要提到安全方面的考虑,比如Cookie的HttpOnly和Secure标志,Token的签名验证等。 在实现机制部分,需要分步骤说明每个技术的运作流程,比如Cookie的设置和发送,Session的创建和管理,Token的生成和验证。这里需要结合引用中的内容,比如引用2提到Token需要客户端手动存储,引用4和5提到Session通过Cookie传递Session ID。 还要注意用户提到的引用内容,确保正确引用。例如,引用3提到Cookie用于保存SessionId或Token,引用5说明Session的生命周期管理。需要将这些信息整合到回答中,并添加适当的引用标识。 最后,生成的相关问题需要围绕区别、实现细节、安全性、应用场景等方面展开,帮助用户深入理解。例如,Token的优势、Session在分布式系统中的问题、如何防止Cookie被盗用等。 现在需要检查是否有遗漏点,比如Token的生成方式(JWT结构)、CookieSession的安全措施,以及三者的典型应用场景。确保每个部分清晰,结构合理,引用正确,同时用中文自然表达。</think>### CookieSessionToken 的区别与实现机制 #### 一、核心区别 | **特性** | **Cookie** | **Session** | **Token** | |----------------|------------------------------------|---------------------------------|-------------------------------| | **存储位置** | 客户端(浏览器) | 服务端(内存/数据库) | 客户端(本地存储/Cookie) | | **数据内容** | 键值对(明文或加密) | 用户会话数据(关联Session ID) | 自包含验证信息(如JWT) | | **通信方式** | 自动通过请求头`Cookie`发送 | 依赖Cookie中的`Session ID`传递 | 手动通过请求头`Authorization`发送 | | **安全性** | 易受CSRF攻击,需设置`HttpOnly` | 依赖Session ID安全性 | 需加密签名,防篡改 | | **扩展性** | 无状态,适合分布式 | 服务端存储,集群需同步Session | 无状态,天然支持分布式 | #### 二、实现机制详解 1. **Cookie** - **生成**:服务端通过响应头`Set-Cookie: key=value`设置。 - **存储**:浏览器自动保存,会话性Cookie关闭浏览器失效,持久性Cookie按过期时间留存[^3]。 - **发送**:后续请求自动附加`Cookie`头,如`Cookie: key1=value1; key2=value2`。 - **安全**:建议设置`Secure`(仅HTTPS传输)、`HttpOnly`(禁止JS访问)[^5]。 2. **Session** - **创建**:用户登录后,服务端生成唯一`Session ID`并存入内存/数据库,通过`Set-Cookie: JSESSIONID=xxx`返回客户端[^4][^5]。 - **关联请求**:客户端后续请求携带`JSESSIONID`,服务端据此查询会话数据。 - **生命周期**:可设置过期时间,支持主动销毁(如用户注销)[^5]。 - **集群问题**:分布式系统中需借助Redis等集中存储Session数据[^3]。 3. **Token(以JWT为例)** - **生成**:服务端用密钥对用户信息(如用户ID、角色)签名,生成形如`Header.Payload.Signature`的字符串[^2]。 - **存储**:客户端手动保存至`localStorage`或Cookie,需自行处理过期逻辑。 - **验证**:服务端通过解密签名验证Token合法性,无需查询数据库[^2]。 - **示例流程**: ```python # 生成Token(伪代码) import jwt token = jwt.encode({"user_id": 123, "exp": expires}, "secret_key", algorithm="HS256") # 客户端发送 headers = {"Authorization": "Bearer " + token} # 服务端验证 try: payload = jwt.decode(token, "secret_key", algorithms=["HS256"]) except jwt.ExpiredSignatureError: return "Token过期" ``` #### 三、典型应用场景 - **Cookie**:保存用户语言偏好、购物车临时数据。 - **Session**:传统Web应用的身份验证(如银行系统)[^4]。 - **Token**:移动端APP、前后端分离架构的API认证(如OAuth2.0)[^2]。 #### 四、安全性对比 - **Session劫持**:若`Session ID`泄露,攻击者可冒充用户(需配合HTTPS防范)[^4]。 - **Token泄露**:需设置短过期时间并结合Refresh Token机制[^2]。 - **CSRF攻击**:Cookie默认携带,需通过`SameSite`属性限制[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值