Cookie、Session、Token 的区别与用途

最新推荐文章于 2025-05-06 10:29:26 发布
最新推荐文章于 2025-05-06 10:29:26 发布
阅读量2.4k 收藏 55
点赞数 31
分类专栏: 面试 文章标签: Cookie Session Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ProgramNovice/article/details/137809102
版权

Cookie、Session、Token 的区别与用途

Cookie、Session、Token 的区别与用途

Cookie

Cookie 是由服务器发送到用户浏览器并存储在用户计算机上的小型文本文件。它包含有关用户的信息,如用户ID、密码、浏览记录等。当用户再次访问网站时,浏览器会将Cookie信息发送回服务器,帮助服务器识别用户身份。

在这里插入图片描述

服务器传回的响应头中的 Set-Cookie 里就是传回的 Cookie,浏览器解析响应头时,会自动将 Set-Cookie 的内容作为 Cookie 保存在本地,后续的 HTTP 请求都会带上 Cookie。

我们打开浏览器,是可以看到 Cookie 的内容的,而且因为是明文传输,所以在 Cookie 中存用户名和密码是非常不安全的行为。

在这里插入图片描述

Session

Session 是服务器为每个用户创建的一个临时会话对象。它包含有关用户会话的信息,例如用户ID、登录状态等。Session通过在服务器上存储用户数据,可以跟踪用户的操作,从而实现用户认证和个性化服务。与Cookie不同,Session不存储在用户的计算机上,而是在服务器上。

在这里插入图片描述

Session 在两种情况下会自动销毁:

  1. 客户端关闭浏览器程序
  2. Session 超时(会话超时):客户端一段时间内没有访问过该Session内存,服务器会清理。回话超时的时间,默认是30分钟,只要发起请求,会话时间从0重新计算。

Cookie 和 Session 的区别

  1. cookie 数据存放在浏览器上,服务器能够知道其中的信息。session 数据会在一定时间内保存在服务器上,客户端不知道其中的信息,当访问增多,会比较消耗服务器的性能。
  2. cookie 不是很安全,别人可以分析存放在本地的 cookie 并进行 cookie 欺骗。session 相对安全,建议将登录信息等重要信息存放为 session。其他信息如果需要保留,可以放在cookie中。
  3. 单个 cookie 保存的数据不能超过4KB,很多浏览器都限制一个站点最多保存20个 cookie。session 容量更大,可以保存对象。
  4. session 中保存的是对象,cookie 中保存的是字符串。
  5. session 不能区分路径,同一个用户在访问一个网站期间,所有的 session 在任何一个地方都可以访问到。cookie 中如果设置了路径参数,同一个网站中不同路径下的 cookie 互相是访问不到的。

Token

为什么要用 Token?

基于服务器的验证:

HTTP 是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储 Session 来完成。随着 web应用程序,以及移动端的兴起,这种验证的方式逐渐暴露出了问题。尤其是在可扩展性方面。

基于服务器验证方式暴露的一些问题:

  1. 每一个用户都需要一个 Session,而服务器要保存所有人的 session id。如果用户量很大,就要有大量的 session id 存储在服务器中。这对服务器说是一个巨大的开销,严重的限制了服务器扩展能力。
  2. 可扩展性:在服务端的内存中使用 Seesion 存储登录信息,伴随而来的是可扩展性问题。
  3. 如果服务器集群采用均衡负载的方法,用户访问服务器时,Session 会在服务器之间复制转发;也可以将 Session 存储在数据库中,服务器每次从服务器取 Session 来验证,这些做法都比较麻烦。
  4. CORS(跨域资源共享):基于 Cookie 的 Session 不能跨域,同一用户通过网页、手机访问同一页面,自身端口是不同的,每次访问的服务器端口也可能不同。需要在后端设置允许跨域,还需要在前端单独设置允许跨域的 Cookie 传递,非常麻烦。
  5. CSRF(跨站请求伪造):如果黑客获取到用户的 Cookie,可以冒充用户访问网站,存在风险。

在这里插入图片描述

在这些问题中,可扩展性是最突出的。因此有必要去寻求一种更行之有效的方法。

基于 Token 的验证原理

基于 Token 的身份验证是无状态的,无需将用户信息存在服务器或 Session 中。这种概念解决了在服务端存储信息时的许多问题。NoSession 意味着程序可以根据需要去增减机器,而不用去担心用户是否登录。

基于 Token 的身份验证的过程如下:

  1. 用户通过用户名和密码发送请求。
  2. 服务器做登录校验,校验成功后就返回 Token 给客户端。
  3. 客户端储存 Token,并且用于每次发送请求。
  4. 服务器端采用 filter 过滤器校验。校验成功则返回请求数据,校验失败则返回错误码。

在这里插入图片描述

可以看出,Token 由服务器生成,但存储在客户端的 Cookie 或者 Storage 里面。

Token 如何生成?

JWT(Json Web Token)是一种可以跨域的认证方案。它由三部分构成:

  • 头部(Header):头部包含了两部分,token 类型和采用的加密算法(可为none,后端应限制加密算法,不以这里为准,一般采用 HMAC-SHA256 算法)。
  • 载荷(Payload):这部分才是重要的,可以自定义信息保存在此。
  • 签名(Signature):使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法进行签名。签名的作用是保证JWT没有被篡改过,如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

这三部分均用 Base64 进行编码,并使用 . 进行分隔。一个典型的 JWT 格式的 token 类似xxxxx.yyyyy.zzzzz。

在这里插入图片描述

Base64 是可逆的,所以注意在Payload部分不要携带敏感信息。

Token 的优势

  1. 无状态:在客户端存储的 Tokens 是无状态的,且不存储 Session 信息。基于此,负载均衡器能够将用户信息从一个服务传到其他服务器上。
  2. 简洁 : 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。
  3. 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。
  4. 安全性:请求中发送 token 而不再是发送 cookie 能够防止 CSRF(跨站请求伪造)。即使在客户端使用 cookie 存储 token,cookie 也仅仅是一个存储机制而不是用于认证。
  5. 可扩展性:Tokens 能够创建与其它程序共享权限的程序。使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,服务器可以通过建立自己的API,得出特殊权限的tokens。
  6. 多平台跨域:对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。只要用户有一个通过了验证的 token,数据和资源就能够在任何域上被请求到。

Cookie、Session、Token 的用途

假设我们正在开发一个博客平台,用户可以注册、登录并发表文章。在这个案例中,我们需要解决以下几个问题:

  1. 如何让用户在多个请求之间保持一致的身份?
  2. 如何确保用户数据的安全传输?
  3. 如何避免跨域问题?

针对这些问题,我们可以分别采用 Cookie、Session 和 Token 技术进行解决。以下是具体实施方案。

使用 Cookie 保存用户偏好:当用户登录博客平台时,服务器会生成一个唯一的 Session ID,并将其存储在 Cookie 中。后续的请求中,客户端携带 Session ID,服务器通过 Session ID 查找对应的 Session 信息来验证用户身份。此外,我们还可以利用 Cookie 保存用户的偏好设置,如主题、语言等。

使用 Session 进行数据会话:在用户登录后,服务器会为该用户创建一个 Session,其中包含用户的用户名、权限等信息。Session 用于保存用户在一段时间内的操作数据,如编辑文章、发表评论等。通过这种方式,我们可以确保用户数据的安全传输。

使用 Token 进行身份验证和跨域认证:服务器生成一个 Token 并返回给客户端。在后续的请求中,客户端需要将 Token 带上,服务器通过验证 Token 来确定该请求是否合法。这样,我们就可以解决跨域问题,同时确保只有持有有效 Token 的用户才能访问平台。

通过以上方案,我们成功解决了博客平台中的身份验证和数据传输问题。在这个案例中,Cookie、Session 和 Token 各自发挥了重要作用,确保了用户身份的一致性、数据安全性以及跨域问题的解决。然而,它们之间仍存在区别:

  • Cookie 主要应用于客户端存储和个性化设置,如用户偏好、登录状态等。

  • Session 则侧重于服务器端保存用户状态和权限控制,可在多个请求之间保持用户身份一致。

  • Token 则用于身份验证和授权,可解决跨域问题,并确保请求的合法性。

在实际开发中,这些技术通常会结合使用,以实现更安全、高效的身份验证和数据管理。通过充分了解 Cookie、Session 和 Token 的区别,我们可以根据项目需求选择合适的技术,确保用户身份安全和数据传输效率。

参考

  1. https://blog.youkuaiyun.com/ChineseSoftware/article/details/122999009
  2. https://www.bilibili.com/video/BV1ob4y1Y7Ep
  3. https://www.bilibili.com/video/BV1at421G7YC
  4. https://blog.youkuaiyun.com/wingrant/article/details/126445880
  5. https://blog.youkuaiyun.com/qq_54850598/article/details/127672246
Python高频面试题4 - SessionCookieToken 核心区别技术对比
孤寒者的博客
04-26 1万+
Python高频面试题4 - SessionCookieToken 核心区别技术对比
Cookie Session Token 鉴权的区别原理
m0_65431718的博客
07-07 1126
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别使用
Session Token区别
love_onefly的博客
06-19 2万+
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将sessionid...
token,cookie,session区别
最新发布
m0_51429350的博客
05-06 811
Token :身份验证的凭证(如 JWT、OAuth Token),由服务端生成,客户端存储并随请求发送。Cookie : HTTP 协议的一部分,由服务端设置,随请求自动发送到服务端,用于维护客户端服务端的状态。通过 HTTP 请求头。
SessionCookieToken的主要区别
Guizy
06-19 1782
SessionCookieToken的主要区别 HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份, 也就是说无法知道上一次请求的对象是谁, 此时就要使用到会话跟踪技术 什么是cookie cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
cookiesession区别
热门推荐
weixin_62304567的博客
12-29 4万+
cookie 1.什么是cookie Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。 2.为什么要用cookie 由于http协议是一种无状态的协议(客户端服务端互相不认识) Cookies是一些存储在用户电脑上的小文件。它是被设计用来保存一些站点的用户数据,这样能够让服务器为这样的用户定制内容。页面代码能够获取到Cookie值然后发送
Cookiesessiontoken对比
dotNET跨平台
12-17 373
Cookiecookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie由服务器生成,发送给浏览器,浏览器把cookie以...
SessionCookieToken区别
jishuxhengjiu的博客
05-23 938
CookieSession是存储在客户端服务端的认证方式,用于记录用户的身份信息会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
彻底理解cookiesessiontoken的使用及原理
10-16
cookie不同,session存储在服务器端,服务器需要有相应的机制来维护管理各个活跃会话。 最后,token则是一种无状态的认证机制。通常情况下,当用户登录成功后,服务器会生成一个包含用户身份信息(比如用户ID)...
sessioncookietoken区别
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
sessioncookietoken区别
weixin_42672802的博客
08-26 2495
Cookiesessiontoken区别
Session,Token相关区别
weixin_30677617的博客
10-29 646
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。 2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将session...
【每日一问】CookieSession Token 有什么区别
weixin_45589713的博客
03-08 1080
CookieSession Token 有什么区别
CookieSessionToken之间的区别是什么?
weixin_43287459的博客
01-15 1099
概念Cookie是由服务器生成并存储在客户端(通常是浏览器)的一小段数据,以键值对的形式进行存储,它是无状态协议(HTTP)的补充机制,用来在客户端服务器之间维持状态。每次发送的HTTP请求都会自动携带该域名下存储的Cookie到服务器,以便让服务器能够识别客户端的状态。注意并非所有的请求都会携带相同的Cookie,而是每个域名会存储对应的Cookie,因此Cookie符合同源策略,不允许跨域请求。同源策略。
cookietoken区别
qq_54247497的博客
06-28 1874
cookietoken区别cookietoken的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样
CookieSessionToken三者区别以及各自应用场景
qcy的博客
09-08 1968
综上所述,选择使用CookieSession还是Token取决于你的具体需求安全要求。对于简单的状态存储会话跟踪,通常使用CookieSession即可。对于需要更高级的安全性验证授权控制,使用Token更为合适。具体选择哪种方法要根据你的项目需求、开发难度安全性要求来决定。
CookieToken区别详解
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
11-02 667
CookieToken区别详解
一文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 2509
本文详细描述了Cookie,Session,Token的定义、鉴权原理区别cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
cookie session token区别
06-28
### 回答1: Cookie Session Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建发送给服务器的,用户可以在浏览器的设置中查看管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名密码等。 Session Token 是在用户登录时在服务器端创建,并在用户服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端服务端的交互;Session更注重用户身份的鉴别用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证信息存储方式,它们之间最大的不同在于其存储的位置方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息身份的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UestcXiye

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值