Cookie、Session、Token、JWT区别和关系

最新推荐文章于 2025-12-04 19:44:13 发布
原创 最新推荐文章于 2025-12-04 19:44:13 发布 · 453 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

本文探讨了Cookie、Session、Token和JWT在用户身份验证中的角色,强调了Cookie的安全隐患、Session和Token在移动应用中的使用以及JWT在分布式服务器中的解决方案,同时指出JWT虽看似加密但不适合保存敏感信息。

Cookie、Session、Token、JWT区别和关系

Cookie

  • 浏览器登录时,会将用户名和密码发送给服务器。服务器验证用户名和密码判断是哪个用户的请求
  • 但是之后的请求需要一直带上用户名和密码,缺少安全性
  • Cookie由此而生,Cookie是服务器验证完用户名和密码后返回给客户端的用户凭证,一般是用户ID和用户名的组合
  • 但是用户ID+用户名很容易给不怀好意的人猜到,从而获取到用户权限。
  • 所以一般会在cookie中放置数据签名(例如,把cookie中所有的数据连起来,拼接上存在服务器中的密令,取Hash值作为签名)
  • 签名随同数据一并发给浏览器作为Cookie,用户不知道服务器密令,所以无法伪造cookie

Session

  • 如果不想浏览器cookie保存太多信息,则可以将用户信息保存在服务器中,并生成一个足够长的key作为session_id传回浏览器作为cookie
  • 后续cookie传回可以通过session_id判断用户,查找出用户数据
  • 这个过程就是Session,session本质上还是一种cookie,不同点在于只传回session_id作为唯一标识,会话数据全都保存在服务器中,由服务器自行管理

Token

  • 移动互联网中,除了网页还有APP和小程序,这种客户端接口默认没有Cookie机制的
  • 将服务器保存的key传输回客户端,但是不再命名为session_id,而是直接作为Token,代替Cookie+serssion_id的组合
  • session和token本质是一样,只是少了浏览器的cookie机制,需要自己维护
  • 而因为缺少了cookie机制,所以客户端请求的时候不再使用cookie字段,而是转用Authorization字段代替

以上是单一服务器的情况,在分布式服务器中,容易导致一个服务器没有会话而导致鉴权失败

分布式服务器

  • 通常解决上述问题,需要在服务端再架设一个中心化的存储服务,例如,Redis专门存储会话数据
  • 但是中心化的方式容易造成服务端的性能瓶颈,Redis中心化的崩溃会导致所有服务器连带崩溃
  • 项目中更多的是希望用户鉴权数据保存在客户端,接口尽可能是无状态的。
  • 所以可以将Cookie的数据作为Token保存在客户端中,这样服务器不需要保存用户的鉴权数据。可以更大的提升服务器的性能。
  • 但是Cookie的加密方式是我们自己想,很可能存在漏洞。每个人的算法也不一样,这样不方便协作

JWT

  • JWT是Token生成的一个标准
  • 这样生成的Token由三部分组成
  • 第一部分,头部包含Hash算法和Token类型
  • 第二部分,载体携带会话数据
  • 第三部分,是签名,原理与我们生成的Cookie签名相类似
  • 但是虽然JWT生成的Token像是加密的,其实谁都可以解开。所以敏感信息,像是密码之类的不要保存在Token中
DDDerek~
关注
CookieSessionTokenJWT详解
本人程序员,不需要做任何吹嘘,只是实在写点程序,写点文档,熟悉各类主流框架,SSM,SpringBoot,Flask,Djiango,Mysql,Sqlite,VUE,Uniapp等,各类程序设计专家,优质作者
05-23 985
CookieSessionTokenJWT
CookieSessionToken JWT区别与应用
记录个人成长, 分享好用资源
07-23 1111
Web开发中,CookieSessionToken JWT 是常用的状态管理身份验证机制。它们各有优缺点适用场景。本文将详细介绍它们的定义、特点、用途、生命周期,并通过实际例子展示它们的应用。
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 1277
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
cookiesessiontokenJWT
qq_51250589的博客
07-29 1112
CookieSessionTokenJWTWeb开发中用于身份验证状态管理的核心技术。
CookiesessiontokenJWT
dgsfdsdf的博客
05-05 1763
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹系统录入的指纹相匹配时,就打卡成功)用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限,你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
JWTCookieSessionToken理解
2301_79926909的博客
03-04 600
简述-服务端对客户端状态的判断,分析 获取所利用的技术--cookie session jwt
cookie,session,token,jwt主要区别
opensnn的博客
06-04 1505
Cookie是存储在客户端的数据,Session是存储在服务器端的数据,两者可以配合使用,通过cookie存储会话ID来实现会话管理。项目CookieSession定义Cookie是由服务器生成并发送到客户端的一个小数据包,客户端会在后续请求中将这个数据包发送回服务器。它用于在客户端存储少量数据。Session是由服务器端维护的用户会话数据存储机制,用于保持用户的会话状态。每个会话通常由一个唯一的会话ID标识。存储位置存储在客户端的浏览器中。存储在服务器端安全性。
CookieSessionTokenJWT区别
梦想是很难很难的,所以先勇敢一点
08-28 651
我们要引导员工理解、欣赏、接受习惯高雅的生活习惯与文化活动,使他们从身心上自己解放自己。这次我们不惜使用为客户提供的服务,作一次演示,让大家看到高雅的生活无处不在。员工不能成为守财奴,不能成为金钱的奴隶,丰厚的薪酬是为了通过优裕、高雅的生活,激发人们更加努力去工作、有效的奋斗而服务的,不是使我们精神自闭、自锁。应该看到欧美发达国家的人民的自律,社会道德风尚是值得我们学习的。欧美国家的人,大多数不嫉妒别人的成功,也不对自己的处境自卑,而且谐相处。任正非:要快乐地度过充满困难的一生。
cookiesessiontoken详解区别
qq_37292005的博客
07-07 1695
cookiesessiontoken工作原理、特点、应用场景及三者区别
一文详解Token,Session,CookieJWT区别
loseyourself94的博客
04-06 1264
一文详解Token,Session,CookieJWT区别
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
精选资源
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
总结来说,CookieSessionJWT都是处理身份验证会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统无状态认证中表现出色。理解它们之间的差异...
清晰讲解CookieSessionTokenJWT之间的区别
记录分享编程与冲浪知识
01-11 1497
详细介绍Cookie, Session, Token, JWT的知识应用
【前端知识】Cookie, Session,TokenJWT的发展及区别(一)
xiaobaizaza_Ry的博客
05-01 2107
最通俗的关于Cookie, SessionTokenJWT的相关笔记理解。在上章笔记中主要介绍一下背景Cookie。包括Cookie的定义,特点,重要属性,优缺点,作用使用场景,以及如何解决禁用问题,以及Cookie在客户端服务端的相关操作。 上章:主要介绍背景Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWTToken区别,以及总结CookieToken区别与发展。
CDN:从“网络加速器”到“网络安全盾”的进化之路
qq_46950007的博客
11-30 460
在大多数人的印象中,零九CDN(内容分发网络)的核心使命是 “加速”——让网页加载更快,让视频播放更流畅。这无疑是它诞生之初被赋予的神圣职责。然而,在当今这个网络攻击频发、安全威胁无处不在的时代,CDN的角色已经悄然发生了深刻的演变。它不再仅仅是互联网世界的“超级快递网”,更已进化成为守护网站安全的 “前沿防御盾”。
网络安全中级阶段学习笔记(五):CSRF跨站请求伪造学习笔记(超全总结)
最新发布
2501_91976946的博客
12-04 501
本文系统总结了CSRF跨站请求伪造攻击的核心知识。主要内容包括:1) 前置基础:解释了CookieSession同源策略的关系;2) 攻击原理:分析了CSRF的定义、核心逻辑特点;3) 攻击类型:详细介绍了GET型POST型CSRF的实现方式,并提供了实战案例;4) 进阶攻击:阐述了JSONP劫持、CORS劫持等跨域资源劫持方法;5) 防御措施:重点推荐Anti-CSRF Token等服务器端防御手段,并给出防御优先级建议。全文通过流程图、对比表等形式梳理关键知识点
什么是网络安全?网络安全包括哪几个方面?学完能做一名黑客吗?
weixin_57514792的博客
12-03 1054
什么是网络安全?网络安全包括哪几个方面?学完能做一名黑客吗?
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1626
网络安全可以基于攻击防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全中级阶段学习笔记(四):XSS-Labs 前 10 关 通关命令and实战笔记
2501_91976946的博客
12-04 820
摘要:本文总结了XSS-Labs前10关的通关命令与注入方式。各关卡通过不同过滤机制测试XSS漏洞,解决方案包括:直接插入script标签(Level1)、闭合HTML属性(Level2)、事件触发(Level3-4)、a标签伪协议(Level5)、大小写混淆(Level6)、嵌套标签(Level7)、HTML实体编码(Level8-9)以及修改隐藏输入框属性(Level10)。每关都针对特定过滤规则采用相应绕过技术,展示了XSS攻击的多种实现方式。注:部分命令可能导致反复弹窗,需多次确认才能进入下一关。
java 中cookie session token jwt
03-08
### Java 中 CookieSessionToken JWT区别及使用场景 #### 一、概念概述 - **Cookie** 是一种小型文本文件,存储在客户端浏览器中。当用户访问网站时,服务器可以设置 Cookies 来保存一些数据,这些数据会在后续请求中被自动发送给服务器[^1]。 - **Session** 是指服务器端的一种会话技术,用来跟踪用户的交互过程。通常情况下,Session ID 存储于 Cookie 或 URL 参数中,以便识别特定用户的会话信息[^3]。 - **Token** 表示令牌,广泛应用于无状态的应用程序架构下作为临时凭证来验证用户身份并授予相应权限。它可以是一个简单的字符串或者加密后的 JSON 对象(如 JWT),由服务端签发并在每次 HTTP 请求头携带传递给资源提供者进行校验[^4]。 - **JSON Web Token (JWT)** 属于 token 类型之一,遵循 RFC 7519 标准定义了一种紧凑且自包含的方式用于在网络应用程序之间安全地传输信息。该信息经过编码形成一段可读性强但又难以篡改的数据串,既可用于认证也可承载其他业务逻辑所需参数[^5]。 #### 二、特点对比 | 特征 | Cookie | Session | Token | JWT | |------------|----------------------------------|----------------------------------|-----------------------------------|------------------------------------| | 数据位置 | 客户端 | 服务器端 | 可选(取决于实现方式) | 客户端 | | 生命周期 | 浏览器关闭或设定过期时间 | 用户登出或超时时限 | 自定义有效期 | 声明中的 exp 字段指定有效期限 | | 安全性 | 易受 XSS 攻击 | 较高 | 需要妥善保管私钥 | 数字签名防止伪造 | | 跨域支持 | 不友好 | 同源策略限制 | 方便 | 天然跨域兼容 | #### 三、应用场景分析 对于传统的基于表单提交的 web 应用而言,`Cookie + Session` 组合能够很好地满足需求: - `Cookie` 将 session id 发送给服务器; - `Session` 在服务器上记录着当前登录者的相关信息直到其失效为止。 然而,在 RESTful API 设计以及微服务体系结构,则更多倾向于采用 `Token/JWT` 进行鉴权操作: - `Token` 提供了更好的灵活性扩展能力,尤其是在前后端分离项目或是移动设备开发环境下显得尤为重要[^2]。 ```java // 创建一个带有签名算法 HS256 的 JWT 实例 JWTCreator.Builder builder = JWT.create(); builder.withSubject("user"); builder.withClaim("id", userId); String token = builder.sign(Algorithm.HMAC256(secret)); // 解析接收到的 JWT 并验证其合法性 DecodedJWT jwt = JWT.require(Algorithm.HMAC256(secret)).build().verify(token); System.out.println(jwt.getClaim("id").asString()); ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值