网络安全-Cookie 和 JWT

Cookie与JWT:身份验证与授权的对比
最新推荐文章于 2025-09-03 20:28:18 发布
原创 最新推荐文章于 2025-09-03 20:28:18 发布 · 1.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

本文探讨了Cookie和JWT在HTTP协议中的作用,重点在于它们在身份验证和授权中的应用及其区别。Cookie由服务器创建并存储在浏览器中,易受CSRF攻击,适合存储会话数据。JWT则包含加密签名,提供更高安全性,适用于跨应用的身份验证。在选择使用时,Cookie适用于存储大量数据和浏览器关闭后仍需保留的数据,而JWT更适合高安全性场景和跨应用的用户登录状态维护。

✊不积跬步,无以至千里;不积小流,无以成江海

CookieJWT 都是 HTTP 协议 的一部分,因此属于前端开发需要了解的基础知识。

CookieJWT 都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于 身份验证授权,但也有一些关键的区别。

Cookie

  • Cookie 的工作原理: Cookie 是由服务器发送到客户端的小型文本文件。它们存储在浏览器中,并在随后的 HTTP 请求中发送回服务器。Cookie 可用于存储各种数据,例如会话 ID、用户偏好设置和购物车内容。

Cookie:

  • 由服务器创建并发送到浏览器
  • 存储在浏览器中
  • 可以包含任何数据
  • 通常用于会话管理和记住用户偏好
  • 存在安全风险,例如 CSRF 攻击

JWT

  • JWT 的工作原理: JWT 是 JSON Web 令牌,是一种用于在客户端存储数据并在 HTTP 请求中发送回服务器的安全方法。JWT 由服务器创建并签名,并在随后的 HTTP 请求中发送回服务器。JWT 可用于存储各种数据,例如用户 ID、角色和权限。

JWT:

  • 由服务器创建并发送到客户端
  • 存储在客户端的本地存储或 cookie 中
  • 通常包含加密签名,以确保数据完整性和防止伪造
  • 通常用于身
最低0.47元/天 解锁文章
Python_P叔
关注
前后端C#鉴权终极指南:HTTP Basic、Session-CookieJWT、OAuth 2.0 全解析
墨夶的博客
05-15 698
Web 开发中,鉴权(Authentication & Authorization)是保障数据安全的核心环节。本文将通过(HTTP Basic、Session-CookieJWT、OAuth 2.0)的,结合,带你彻底掌握如何构建安全可靠的前后端鉴权体系。
Gin中使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 2756
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
Cookie、Session、JWT的详解
miaozy
04-10 1726
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器浏览器的会话跟踪,就需要使用 c...
JWT 实现登录认证功能及Cookie、Session Token的区别
m0_49692893的博客
12-24 1998
认证功能是项目基础建设之一,要实现认证功能,很容易就会想到 JWT 或者 Session,但是两者有啥区别?各自的优缺点?
token,session,cookie,jwt,oauth2傻傻分不清楚
最新发布
m0_73735578的博客
09-03 1018
Cookie是存储在浏览器端的一小段文本数据,由服务器通过HTTP响应头的Set-Cookie字段发送给浏览器,浏览器随后会自动在每次请求中通过Cookie头将其带回给服务器。工作原理Session是存储在服务器端的用户状态信息。服务器为每个用户创建一个唯一的Session ID,并通过Cookie将这个ID传递给浏览器,浏览器后续请求时带上这个ID,服务器就能识别用户身份。Session存储结构// 典型的Session数据结构// 自定义属性// 省略getter/setter。
登录认证: 为什么要使用JWT去替代cookiesession技术
pingzhuyan的博客
06-29 2889
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:CookieSession是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
cookiejwt解析
web$-小白
07-26 906
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
Cookie,SessionJWT
林北
10-19 1173
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
前后端的身份认证--cookie--session--jwt--token
m0_67402341的博客
03-06 1011
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 1.服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 2.服务器端渲染的优缺点 优点: 1.前端耗时少 因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端 更省电 2.有利于SEO 因为服务器端响应的是完整的HT
【前端知识】Cookie, Session,TokenJWT的发展及区别(一)
xiaobaizaza_Ry的博客
05-01 2094
最通俗的关于Cookie, Session,TokenJWT的相关笔记理解。在上章笔记中主要介绍一下背景Cookie。包括Cookie的定义,特点,重要属性,优缺点,作用使用场景,以及如何解决禁用问题,以及Cookie在客户端服务端的相关操作。 上章:主要介绍背景Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWTToken的区别,以及总结Cookie到Token的区别与发展。
Cookie/JWT的区别联系
weixin_43393670的博客
11-24 3583
Cookie/JWT的区别联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
cookie中的JWT身份验证
08-16
使用Postgresql+EF,.Net Core webapi中实现在Cookie 中验证JWT,并且附有自定义权限策略
一文彻底搞懂cookie、session、token、jwt
酷奇的博客
03-02 1471
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 Token、JWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证Token,JWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、Token、JWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
JWTSessionCookie
N_a_n的博客
04-13 766
文章目录会话管理cookieSessionsessioncookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
Jwt、Session、Cookie
m0_50985216的博客
07-10 599
JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。:包含令牌的元数据,如令牌的类型(JWT签名算法(如HMAC SHA256或RSA)。:包含要传递的信息,如用户ID、角色、权限等。:使用头部载荷的Base64编码字符串以及一个密钥(secret)进行签名计算,以确保信息传输的安全性。文件中,配置JWT的相关参数,如密钥(Secret)、颁发者(Issuer)受众(Audience)。
Cookie、Session、Token 、JWT、单点登录 详解
weixin_68074170的博客
07-23 2029
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 session token 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
一文详解Token,Session,CookieJWT的区别
loseyourself94的博客
04-06 1259
一文详解Token,Session,CookieJWT的区别
Cookie,Session,TokenJwt详解
weixin_53952534的博客
01-25 1041
cookie,session,tokenjwt的区别联系
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 1250
全网最详细,关于session,cookie,token的用户认证的原理与区别
基于Ember-Simple-Auth实现JWT认证的全栈测试
建议的做法包括:启用HttpOnlySecure标志的Cookie(虽然这与传统的Bearer Token模式略有冲突,但可通过双令牌机制解决)、实施严格的CSP(内容安全策略)、对用户输入进行充分的转义验证。同时,还应考虑CSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值