用户认证-cookie和session

最新推荐文章于 2025-03-10 23:12:29 发布
原创 最新推荐文章于 2025-03-10 23:12:29 发布 · 397 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #http #运维 #django

短链接用于简化URL,HTTP协议是无状态的,这意味着每次请求和响应后连接会被断开。为解决无状态问题,引入了Cookie和Session机制。Cookie是保存在客户端,用来识别用户身份;Session存储在服务器端,跟踪用户状态。Session和Cookie常用于保持用户会话状态。

无状态&短链接

短链接的概念是指:将原本冗长的URL做一次“包装”,变成一个简洁可读的URL。

 什么是短链接->  https://www.cnblogs.com/54chensongxia/p/11673522.html

HTTP是一种无状态的协议

短链接:一次请求和一次响应之后,浏览器和服务器之间的连接断开

下次再连接时会当做重新的开始,不会有记录,这就是无状态 。

如何解决无状态,引入cookie和session机制

cookie:服务器单纯从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。 

  • 保存在浏览器中的键值对
  • 发送请求是,自动携带

 Cookie的不可跨域名性

  1. 根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。

 

Session

由于网页是一种无状态的连接程序,因此无法得知用户的浏览状态。在网上购物的时,把很多商品加入了购物车,而在结账时网站却不知道你购物车有哪些物品。为了解决这个问题,服务器端就为特定用户创建了特定的session,用于标示并跟踪这个用户,这样才知道购物车里有哪些商品

  1. Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。

  2. 客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了

  3. Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了

Session和Cookie的关系

  • cookie 是一个实际存在的、具体的东西,http 协议中定义在 header 中的字段
  • session 是一个抽象概念、开发者为了实现中断和继续等操作,将client和server之间一对一的交互,抽象为“会话”,进而衍生出“会话状态”,也就是 session 的概念。
  • 即session描述的是一种通讯会话机制,而cookie只是目前实现这种机制的主流方案里面的一个参与者,它一般是用于保存session ID。

参考链接:https://www.cnblogs.com/lingyejun/p/9282169.html

 

 

·        

WEB安全(七)Session-Cookie 方案进行身份验证的具体过程
jinyangjie的博客
02-14 1340
概述 每一次web请求,其实是通过sessionId来标识请求会话的。 1、用户端成功请求登录接口并且验证身份通过时,服务端记录该次session信息,并把seesionId返回给用户端,用户端将该信息存入cookie。 2、当同个用户再发起新的请求时,会把sessionId带上,服务端通过对比已有session信息,可识别用户身份。 更详细的描述过程 1、用户服务器发送用户名、密码、验证码用于登陆系统。 2、服务器验证通过后,服务器用户创建一个 Session,并将 Session 信息存储起来。 3
网络安全:身份验证 CookieSession、Token解析
2201_75856701的博客
02-09 904
现代化的网站已经不再是简单的静态网站了,会包含很多动态的内容,例如推荐、用户的信息查询、购物车等功能,因此后端服务器需要得到每个请求的身份及状态信息。然而HTTP协议是无状态的协议,每个请求之间是独立的,为了在请求的过程中进行状态保存,避免每次都进行登录校验,因此需要在客户端或浏览器保存用户的身份及状态信息,并在请求中发送,以实现有状态的服务。
跨域下每次请求的session为null_程序员必备知识:cookiesession认证
weixin_39538847的博客
11-22 413
用户认证在互联网发展初期,Web基本上只是内容的浏览而已,服务器不需要记住每个浏览请求的状态,换句话说,服务器不需要有任何的状态信息,每次客户端的请求都是新的请求,这也是http无状态一个很明显的表现。随着互联网大潮的到来,尤其是像在线购物等这种用户关系密切的系统的大量兴起,系统需要辨识出用户,以便进行各种业务操作,这种需求给Http无状态这种特性一个强烈的冲击,所以最终的解决方案就是客户端请求...
身份验证之CookieSession、Jwt
singularity(奇点)
02-05 739
身份验证之CookieSession、Jwt
你真的了解 Session Cookie 吗?
陈皮的JavaLib
07-18 2211
Session 机制就能实现,它可以让无状态协议的 HTTP 有状态化。服务端为每个请求服务端的用户创建其独享的 Session,用于标识,跟踪此用户Session 是存储在服务端的,可以存储在文件,内存,数据等等,并且有唯一的标识 Session ID。服务端创建 Session 之后,服务端通过 HTTP 协议告诉客户端,在本地 Cookie 中记录这个 Session ID。
精选资源
flask-session-cookie-manager-master.zip
09-05
在Web应用中,用户认证通常依赖于sessioncookiecookie服务器发送到用户浏览器并存储在本地的一小块数据,用于跟踪用户状态。而session则是一种在服务器端存储用户状态的方法,相比cookie更安全,因为它不包含...
Cookie-SessionToken认证方式
alivinFer的个人博客
08-28 883
本篇文章主要介绍了cookiesessiontoken的基本概念,以及两种不同的认证方式
JavaWeb笔记整理04——登录-cookiesession
hello77的blogggg 祝你得偿所愿
08-08 1147
Cookie Session 是协同工作用来在无状态的HTTP协议下保持用户状态的技术。通常,Session ID 存储在 Cookie 中,客户端浏览器通过 Cookie 自动将 Session ID 发送到服务器服务器根据 Session ID 检索对应的 Session 数据来识别管理用户的会话状态。简而言之,Cookie 用于在客户端存储 Session ID,而 Session 本身存储在服务器端,两者共同维护了用户会话的连续性。
jsp-cookie-session-crud 使用 JSP 实现cookie session验证及增删改查
04-11
总结来说,JSP结合cookiesession提供了强大的用户认证会话管理功能。通过CRUD操作,我们可以轻松地对用户数据进行管理。在实际开发中,了解熟练掌握这些技术对于构建安全、高效的Web应用程序至关重要。
SpringBoot - Cookie & Session 用户登录及登录状态保持功能实现
m0_74824755的博客
03-10 929
定义Session (会话控制),Session 对象存储特定用户会话所需的属性及配置信息SessionID:客户端第一次请求服务器时,服务器为客户端算出的一个值,存储在 Cookie 中,用于定位用户 Session服务器中的位置与 Cookie 的区别:Cookie 可以通过伪造来实现登录并进行一些 HTTP 请求,从安全性上来讲,SessionCookie 安全性稍微高一些功能:提高安全性有效期:一般为半小时,可以根据需求设定缺点。
基于 Cookie/Session认证方案
Tatooine
04-29 1365
基于 Cookie/Session认证方案 Cookie Cookie 的工作原理 由于 HTTP 是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。cookie 指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie 的保存时间,可以自己在程序中设置。如果没有设置保存时间,应该是一关闭浏览器,cookie 就自动消失。 Cookie
CookieSession登陆验证相关介绍用法
Demon's blog
12-30 1035
CookieSession用户登陆应用的原理Cookie的定义查看CookieDjango中操作Cookie获取Cookie设置Cookie删除CookieDjangoSession相关用法Session版登陆验证Django中的Seesion配置CBV中加载装饰器相关1. 加在CBV视图的get或post方法上2. 加在dispatch方法上3. 直接加在视图类上,但method_decorator必须传 name 关键字参数中间件CSRF Tokencookie翻译成中文意思是曲奇饼、饼干。
前后端的身份认证--cookie--session--jwt--token
m0_67391120的博客
03-09 429
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 1.服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 2.服务器端渲染的优缺点 优点: 1.前端耗时少 因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端 更省电 2.有利于SEO 因为服务器端响应的是完整的HT
会话管理:Cookie-Session
yyws2016的博客
06-05 1475
1.Cookie是客户端技术
使用cookiesession实现用户认证授权(原生方式,不使用安全框架)
weixin_43266529的博客
03-24 7358
在学习springsecurityshiro等安全框架之前可以使用原生的方式,基于cookiesession实现原生的认证,有利于加强对框架学习的理解,也有助于清晰的理解认证授权的流程,也有助于对cookiesession作用的理解。 对cookiesession的概念不清楚的可以参考:cookiesession 一般的管理系统都是基于RABC授权,也即基于角色授权,RABC授权模式最简单的就是利用5张表:用户表,角色表,权限表,用户角色中间表,角色权限中间表,这里就基于这5张表进行讲解。 案例
CookieSessionToken认证
谢公子的博客
12-12 6628
目录 Cookie Session认证机制 Session的一些安全配置 Token认证机制 Token预防CSRF Session认证Token认证的区别 前言:HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。不然有些情况下即使是打开同一个网站的不同页面也都要重新登录。而CookieSessionToken就是为了解决这个问题而提出来的两个...
关于拦截器cookie-session用户身份认证
lvkeyxx的博客
06-19 994
1.loginController代码实现 package com.lvkeyxx.controller; import com.lvkeyxx.domain.Login; import com.lvkeyxx.utils.JsonResult; import org.springframework.stereotype.Controller; import org.springframew...
使用sessioncookie实现免登陆
yanguo110的博客
04-29 2672
原文链接:http://www.jb51.net/article/108764.htm 参考文件:http://blog.youkuaiyun.com/a997208868/article/details/47787305 后台管理页面往往需要登录才可以进行操作,这时就需要Seession来记录登录状态 要实现起来也是非常简单,只需要自定义一个HandlerInterceptor就行了 自定义
tokensession-cookie什么区别
最新发布
05-07
<think>好的,用户现在想了解tokensession-cookie之间的区别,以及它们的用法比较。我需要先回顾之前的对话,确保回答的一致性相关性。 用户之前问过token是什么,我详细解释了token的定义、用途,包括身份验证、授权、跨域资源共享API访问控制,还提供了JWT的代码示例。现在用户进一步想了解tokensession-cookie的区别,需要对比这两者的工作机制、安全性、扩展性等方面。 首先,我需要明确session-cookietoken-based认证的基本原理。session-cookie服务器存储会话信息,客户端通过cookie保存session ID,而token-based则是服务器生成token,客户端存储token,每次请求携带token进行验证。 接下来,对比两者的存储位置。session数据存储在服务器端,可能使用内存、数据库或缓存,而token的数据通常存储在客户端,如JWT包含用户信息。这点需要强调服务器负担扩展性的问题。 然后是安全性。session ID可能面临CSRF攻击,而token一般不需要cookie,可以避免CSRF,但需要注意XSS攻击的风险。同时,token如果使用JWT,需要保护密钥,防止被篡改。 跨域支持方面,session-cookie受同源策略限制,而token可以灵活地在不同域之间传递,适合现代前后端分离的应用架构。 扩展性方面,session需要服务器存储,对于分布式系统可能需要共享session存储,而token无状态,更适合水平扩展。 另外,用户可能关心的实际应用场景,比如移动应用或RESTful API通常用token,而传统Web应用可能用session-cookie。需要举例说明两者的适用情况。 还需要检查之前的引用文献,确保引用的一致性。之前的回答引用了[^1][^3][^4][^5],可能需要调整引用位置,确保准确。 可能用户需要具体的例子或代码比较,比如session-cookie的实现token的实现对比,或者如何选择适合的方案。 最后,生成的相关问题需要与主题紧密相关,比如如何防止token被盗,分布式系统中的认证方案选择,或者迁移session到token的注意事项。确保问题能引导用户深入思考或进一步学习。</think>### Token 与 Session-Cookie 的区别及用法比较 在用户身份验证会话管理领域,**Token** **Session-Cookie** 是两种主流方案,它们在存储方式、安全性、扩展性等方面有显著差异。以下是具体分析: --- #### 1. **核心机制对比** | **特性** | **Session-Cookie** | **Token** | |------------------------|-------------------------------------------------|------------------------------------------------| | **存储位置** | 服务器端存储会话数据,客户端仅存储 Session ID(通过 Cookie) | Token 存储在客户端(如浏览器 LocalStorage、HTTP 头) | | **状态性** | 有状态(服务器需维护会话状态) | 无状态(服务器不存储会话信息) | | **通信方式** | 依赖 Cookie 自动附加到请求头 | 需手动将 Token 添加到请求头(如 `Authorization: Bearer <token>`) | | **跨域支持** | 受同源策略限制(需配置 CORS) | 天然支持跨域(通过自定义 HTTP 头传递) | --- #### 2. **安全性对比** ##### (1)**Session-Cookie 的风险** - **CSRF(跨站请求伪造)**:攻击者可诱导用户点击恶意链接,利用浏览器自动携带 Cookie 的特性发起非法请求[^3]。 - **XSS(跨站脚本攻击)**:若 Cookie 未设置 `HttpOnly` 属性,攻击者可通过注入脚本窃取 Session ID[^1]。 - **防御措施**:需配合 CSRF Token、设置 `SameSite` 属性(如 `SameSite=Strict`)等增强安全性。 ##### (2)**Token 的风险** - **XSS 攻击**:若 Token 存储在 LocalStorage 中,可能被恶意脚本窃取[^5]。 - **Token 泄露**:需使用 HTTPS 加密传输,防止中间人攻击。 - **防御措施**:短期 Token 有效期、JWT 签名验证(如 HS256 或 RS256)、黑名单机制等。 --- #### 3. **性能与扩展性对比** | **场景** | **Session-Cookie** | **Token** | |------------------------|-------------------------------------------------|------------------------------------------------| | **服务器资源占用** | 需在服务器端存储会话数据,可能占用内存或数据库资源 | 无服务器端存储,减轻负载 | | **分布式系统支持** | 需共享 Session 存储(如 Redis 集群) | 天然支持分布式(Token 自包含用户信息) | | **移动端/API 友好性** | 依赖 Cookie,对原生移动端支持较差 | 更适合移动端 RESTful API | --- #### 4. **典型应用场景** ##### (1)**Session-Cookie 适用场景** - **传统 Web 应用**:如电商网站、内容管理系统(CMS),需要服务器维护用户状态。 - **需要短期会话**:例如银行系统,要求会话严格受控并快速失效。 ##### (2)**Token 适用场景** - **前后端分离架构**:如 SPA(单页应用)、移动端 App,通过 Token 实现跨域认证[^4]。 - **微服务/分布式系统**:无需共享 Session 存储,降低系统耦合度。 - **第三方 API 授权**:如 OAuth2.0 中的 Access Token[^5]。 --- #### 5. **代码示例对比** ##### (1)Session-Cookie 实现(Node.js) ```javascript // 服务器生成 Session ID 并存储 const session = require('express-session'); app.use(session({ secret: 'your_secret_key', resave: false, saveUninitialized: true, cookie: { secure: true, httpOnly: true } })); // 登录后设置 Session app.post('/login', (req, res) => { req.session.userId = 123; // 服务器存储用户 ID res.send('Logged in'); }); ``` ##### (2)Token 实现(JWT) ```javascript const jwt = require('jsonwebtoken'); // 生成 Token const token = jwt.sign({ userId: 123 }, 'your_secret_key', { expiresIn: '1h' }); // 客户端请求时携带 Token fetch('/api/data', { headers: { 'Authorization': `Bearer ${token}` } }); ``` --- ### 总结:如何选择? - **需要高扩展性、跨域支持** → 选择 **Token**(如 JWT)。 - **需严格控制会话状态、防范 XSS** → 选择 **Session-Cookie**(配合安全配置)。 - **混合方案**:某些场景可结合两者(如使用 Session 管理短期操作,Token 用于长期授权)。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值