cookie,session,token详解

原创 已于 2025-07-16 17:54:21 修改 · 484 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

于 2024-03-27 09:55:17 首次发布
本文比较了Cookie、Session和Token在实现Web授权中的作用,强调了它们的原理、优缺点及适用场景,如Cookie的存储限制、Session的安全性提升和Token的跨域及安全性特性。

cookie,session和token都是我们实现授权的方式,在面试中也经常问道到他们的区别,那么他们的区别到底是什么呢?

简单概念

众所周知,http是无状态的协议,它对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息,所以每个请求都是完全独立的,服务器无法确认当前访问者的身份信息。所以为了进行会话跟踪,就要主动维护一个状态,用于告诉服务器前后两个请求是否来自同一浏览器。而这个状态就需要cookie或者session实现。
同理,token是用户访问API时所需要的资源凭证。token分为Acess Token和Refresh Token。Acess Token一般用来作为登录凭证,而Refresh Token一般用来做Acess Token的刷新

cookie

cookie存储在浏览器,存储大小为4kb,以字符串的形式存储
发送请求时浏览器会检查是否有cookie,如果存在cookie就会自动带上,需要注意的是,cookie是不可跨域的,每个cookie都会绑定单一的域名,无法在别的域名下获取使用。但是在一级域名和二级域名之间是允许共享使用的

session

session是基于cookie实现的,但是session存储在服务器端,而服务端会返回sessionId存储到cookie中。当客户端发起请求时,请求会自动判断携带cookie,服务端就会从cookie中获取sessionID然后查找对应信息。

cookie和session的区别

  • session由于存储在服务器的,所以session相比于cookie更安全
  • cookie只支持字符串类型的数据,但是session可以存储任意类型的数据
  • cookie可长时间保存,但是session在默认情况下客户端关闭或者session超时都会失效
  • cookie的存储大小为4kb,session的存储大小远高于cookie

Token

token一般由服务端通过用户信息等生成,会在用户登录成功后返回给客户端,客户端接收到token后会存储在cookie 或者localStorage 中,之后煤气发起请求,都需要将token放在请求头中携带。
token支持移动端设备,支持跨程序调用,更安全。

Token和session的区别

  • session是记录了会话状态,使服务端有状态化,而token是令牌,访问资源接口时的凭证,它不会让服务器有状态,也不会保存会话信息
  • 作为身份认证来说,Token相比session来说安全性更好,因为每一个请求都有签名,并且还能防止监听以及重放攻击
  • 如果用户数据可能可第三方共享或者允许第三方调用接口,就需要用token,因为使用sessionid就认为有此用户的全部权力,不应该共享出去。
CookieSessionToken解析
深夜无眠的博客
06-05 1270
简而言之,Cookie就是是一些数据,类型为“小型文本文件”,会以key-value的形式存储于电脑上的文本文件中。主要用于存储服务器返回给客服端的信息,然后在客户端中进行保存。在下一次访问该网站时,客户端会将保存的Cookie一同发给服务器,服务器再利用Cookie进行一些操作,比如使用Cookie记录用户的登录状态信息。
token为什么最好存在cookie
m0_51429350的博客
03-26 339
将令牌(Token)存储在。
cookiesessiontoken详解和区别
qq_37292005的博客
07-07 1703
cookiesessiontoken工作原理、特点、应用场景及三者区别
sessioncookietoken 详解
热门推荐
徐本锡的专栏
06-19 138万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,...
cookie session token详解
weixin_34199335的博客
06-03 133
cookie Web Application一般使用HTTP协议作为信息传输协议,但是HTTP协议是无状态的,也就是说一次HTTP成功断开后(HTTP协议为一次请求一次响应),这个时候如果客户端再次发送请求,服务端则不能辨识这个客户端为上次刚刚发起请求过的客户端,这就说明HTTP协议不能支持会话跟踪,这个时候...
CookieSessionToken 详解
weixin_47242663的博客
07-22 684
CookieSessionToken是三种常见的Web认证机制。Cookie存储在客户端,通过HTTP头传输,适合存储简单用户数据但安全性较低。Session将数据存储在服务端,通过Session ID关联,安全性更高但增加服务器负担。Token(如JWT)是无状态方案,客户端存储包含用户信息的签名令牌,适合分布式系统但无法提前废止。三者各具特点:Cookie适合简单状态维护,Session适用于传统Web应用,Token更适合现代API服务。安全实践建议包括设置HttpOnly/Secure标志、合理
cookietokensession详解
2301_77574331的博客
08-13 662
​​ ​​(由浏览器存储和管理),但由后端服务器创建并通过响应头发送给浏览器,并在后续请求中由浏览器自动发送回服务器。​​ ​​(存储在服务器的内存、数据库或专用存储中)。浏览器通常只保存一个 ​​(通常通过 cookie 传输)。​​ ​​,但​​(可以在 cookie 里,也可以在浏览器的或内存中)。浏览器/客户端在后续需要认证的请求中主动发送它给服务器(通常在请求头里)。
2、cookie session token详解
weixin_30340819的博客
04-23 95
cookie session token详解 转自:http://www.cnblogs.com/moyand/ 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮...
CookieSessionToken、JWT详解
本人程序员,不需要做任何吹嘘,只是实在写点程序,写点文档,熟悉各类主流框架,SSM,SpringBoot,Flask,Djiango,Mysql,Sqlite,VUE,Uniapp等,各类程序设计专家,优质作者
05-23 989
CookieSessionToken、JWT
cookiesessiontoken详解
qq_42219004的博客
04-27 1136
Token 完全由应用管理,所以它可以避开同源策略Token 可以避免 CSRF 攻击Token 可以是无状态的,可以在多个服务间共享。
Cookie,Session,Token详解
q123q9的博客
03-16 2806
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的。 同时HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这三个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie
Cookie,Session,Token详解.pdf
07-30
根据提供的文件信息,以下是对文件《Cookie,Session,Token详解.pdf》中知识点的详细解读: 1. Cookie的相关知识 1.1 Cookie不是缓存。它是由服务器创建并存储在客户端的一小段文本信息,通常以字典(键值对)的...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
React大模型网站-流式推送markdown转换问题以及开启 rehype-raw,rehype-sanitize,remark-gfm等插件的使用
m0_61998604的博客
12-04 1125
本文介绍了在React大模型网站中实现流式推送Markdown转换的方法,重点讲解了ReactMarkdown库及其配套插件的使用。主要内容包括:1)ReactMarkdown基础用法;2)通过rehype-raw插件支持HTML标签渲染;3)使用rehype-sanitize防止XSS攻击;4)利用remark-gfm支持GitHub风格的Markdown语法;5)给出了完整的流式渲染实现方案,包含SSE推送、内容累积和实时更新等关键技术。文章还提供了完整的代码示例,帮助开发者快速实现安全可靠的Markd
Vue 通用复选框组互斥 Hooks:兼容 Element Plus + Ant Design Vue
a3212768093的博客
12-02 874
本文介绍了一个通用的Vue Hooks useExclusiveCheckbox,用于实现复选框组的互斥选择功能。该Hooks兼容ElementPlus和AntDesignVue两大UI库,主要特点包括:跨UI库兼容、轻量无依赖、灵活配置互斥选项值、全场景适配和类型安全。核心逻辑通过对比新旧选中值数组,自动处理互斥选项与其他选项的切换关系。文章提供了完整代码和使用示例,分别演示了在ElementPlus和AntDesignVue中的实现方式,并解答了常见问题。该方案可显著提升开发效率,适用于各类需要互斥选择
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
HIT_Weston的博客
12-04 1318
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
深度解析前端input标签:从默认样式覆盖到浏览器自动填充和兼容以及文本域
鹏多多的博客
12-03 1004
HTML表单中的<input>标签是核心交互元素,支持多种输入类型(如文本、密码、单选、文件上传等),通过type属性定义不同功能。其核心属性包括数据标识(name/id)、状态控制(disabled/readonly)、验证限制(pattern/maxlength)和交互优化(autofocus/autocomplete)。浏览器默认样式存在兼容性问题,可通过CSS重置实现统一外观,特别是对单选/复选框需要特殊样式覆盖处理。自动填充功能基于name属性和表单上下文触发,可通过autocompl
ruoyi集成camunda实现bpmn在线设计器
xrl2012的专栏
12-03 1209
摘要: 本文介绍了如何在RuoYi-Vue2前端集成Camunda BPMN在线设计器,实现流程建模功能。通过npm安装bpmn-js等依赖包,配置vue.config.js解决转译和别名问题,并提供了测试页面代码示例。页面包含导入/导出XML/SVG、流程检查、部署等功能,支持BPMN流程设计器的初始化和基本操作。环境要求包括JDK 1.8+、MySQL 5.7+、Node 23+等。完整方案可参考若依工作流。
前端仿真驱动创新:西门子FLOEFD的行业价值与应用指南
最新发布
anscos的博客
12-05 1201
西门子Simcenter FLOEFD作为嵌入CAD的CFD解决方案,精准击中了现代研发“高效迭代、精准预判”的核心需求,其技术革新与应用实践为多行业带来了研发模式的重构,成为高端装备设计不可或缺的核心工具。西门子FLOEFD以“CAD原生、智能高效、多场协同”为核心,打破了设计与仿真的壁垒,尤其适配新能源、电子、增材制造等快速迭代的行业。其价值不仅在于缩短研发周期、降低试验成本,更在于推动工程师将“仿真思维”融入设计全流程,实现从“经验驱动”到“数据驱动”的转型。
cookiesessiontoken详解
06-28
### 回答1: CookieSessionToken是三种常见的Web应用程序认证和授权机制。 Cookie是客户端存储认证和授权信息的一种机制,用于在浏览器和服务器之间进行状态管理。当用户首次登录时,服务器会在响应中设置一个包含认证和授权信息的Cookie,然后浏览器会将这个Cookie存储起来,并在下一次请求时将其一起发送给服务器,以便服务器能够识别用户。 Session是在服务器端存储认证和授权信息的一种机制,用于跟踪用户在Web应用程序中的活动。当用户首次访问Web应用程序时,服务器会为其创建一个Session,然后在后续请求中使用这个Session来管理用户状态。Session通常通过Cookie在浏览器和服务器之间交互。 Token是一种轻量级的认证和授权机制,用于在不使用CookieSession的情况下在浏览器和服务器之间进行状态管理。当用户登录成功时,服务器会生成一个Token,并将其发送给浏览器;浏览器在后续请求中将该Token带上,以便服务器能够识别用户并进行授权。Token通常使用JWT(JSON Web Token)格式进行编码和传输。 ### 回答2: cookiesessiontoken是Web开发中常用的三种身份验证与状态管理的技术,它们具有各自的特点和优缺点。 cookie是一种浏览器保存在用户计算机中的小文件,可以储存一些用户信息和网站状态。它的主要作用是让网站在用户多次访问时可以识别用户,实现用户身份验证和存储一些数据。有的站点还会使用cookie来追踪用户行为,以便提供更好的个性化服务。但是,cookie只能保存较小的数据量,并且存在一些安全风险,比如cookie可被拦截和篡改带来的安全问题。 session是在服务器端保存的用户信息,它使用一个服务器端生成的唯一标识符(SessionID)来标识用户,以便让服务器知道它们是同一个用户。一般情况下,SessionID是保存在cookie中的。用户在访问网站时,服务器会自动创建一个与该用户对应的session,将SessionID写入cookie,并将用户的状态信息存储在服务器的内存或磁盘上,以便后续使用。相比于cookiesession不能被篡改,避免了安全问题。但是,session存储在服务器端,会增加服务器的负担,而且如果用户访问量很大,服务器存储session数据可能会消耗很多内存和磁盘空间。 token是一种基于JSON Web Token(JWT)或其他加密算法的令牌机制,可以用于在客户端和服务器之间进行身份验证和状态管理。它的工作方式与cookiesession不同,它不需要在服务器端存储用户信息,客户端只需要将token与每个请求一起发送给服务器即可。通过加密算法可以确保token具有不可伪造和可信任的安全性。token相比于cookiesession有以下优点:1)减轻服务器负担,不需要在服务器端存储状态信息;2)支持跨域访问;3)可以灵活调整token的过期时间和访问权限。但是,token也存在一些安全问题,比如token可以被窃取和泄露,因此需要加强安全措施,比如使用HTTPS等安全通讯协议。 综上所述,cookiesessiontoken各自具有不同的优缺点和应用场景,开发人员需要根据实际情况选择合适的技术来实现身份验证和状态管理。 ### 回答3: 1. Cookie Cookie(HTTP Cookie)是由Web服务器发送到用户浏览器,存储在用户本地计算机上的小文件。当浏览器再次加载该站点时,它会将Cookie发送回服务器。主要用于记录Web站点用户的活动、登录状态、购物车、喜好设置等。 Cookie的特点: - 存储在用户本地计算机上,大小约为4KB; - 可以由Web服务器设置失效时间; - 每个Cookie只能存储一种信息,因此需要多个Cookie来存储不同的信息。 2. Session Session(会话)是一种在Web服务器上存储状态的机制。当用户访问Web站点时,Web服务器为该用户创建一个Session对象。该对象由唯一的Session ID(会话ID)和相关的信息组成,如用户ID、存储在服务器上的数据等。 Session的特点: - 存储在Web服务器上,可存储大量数据; - 可以设置失效时间; - 每个用户只有一个Session对象,可以存储多种信息。 3. Token Token(令牌)是在用户登录后由Web服务器生成的一段随机字符串。服务器将令牌发送给客户端(如浏览器),客户端每次请求操作时需要携带这个令牌。服务器会验证令牌的有效性并返回对应的结果。常用于身份验证和访问控制。 Token的特点: - 存储在客户端,大小不固定; - 没有失效时间,只有服务器失效(如修改密码)时才会失效; - 可以根据需要设置不同权限的Token,实现不同级别的访问控制。 总体来说,CookieSessionToken都是记录Web站点用户状态的机制。CookieSession存储在服务器和客户端之间,主要用于记录用户的活动和状态;而Token则存储在客户端,用于身份验证和访问控制。不同的机制有不同的特点和应用场景,需要根据实际情况选用合适的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值