13-Cookie、Session、Token

原创 已于 2023-06-30 07:53:26 修改 · 291 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2023-06-29 14:15:41 首次发布
本文介绍了HTTP协议的特点,包括其简单快速、无连接、无状态等特性,并探讨了由于无状态特性导致的Cookie、Session和Token的出现。详细阐述了Cookie和Session的工作原理及它们之间的联系与区别,同时提到了Token作为认证方式的优势。此外,还提供了使用Cookie和Session的JavaServlet代码示例。

目录

1.前置知识——HTTP协议

1.1.HTTP 的主要特点有以下 5 个:

1.2.HTTP 组成

1.3.为什么会有Cookie、Session、Token?

2.Cookie

3.Session

PS:Cookie 和 Session 的联系与区别

4.Token

4.1.token的组成

4.2.token是如何生成的?

4.3.token认证流程

5.小结

6.核心方法

6.1.HttpServletRequest 类中的相关方法

6.2.HttpServletResponse 类中的相关方法

6.3.HttpSession 类中的相关方法

6.4.Cookie 类中的相关方法

PS:代码实战

①cookie写入和读取

②session写入和读取

1.前置知识——HTTP协议

HTTP(Hyper Text Transfer Protocol)超文本传输协议,下文简称 HTTP,它的作用是用于实现服务器端和客户端的数据传输的。它可以传输任意的数据类型,如文本、HTML、图片、文件、声音等类型。 简单来说,HTTP 的作用就像一个“快递”一样,用来承载客户端(浏览器)和服务器端的数据传输,如下图所示:

1.1.HTTP 的主要特点有以下 5 个:

  1. 简单快速:客户端向服务器端发送请求时,只需传递请求方法、路径和请求参数,因为协议简单,所以使得 HTTP 服务器的程序规模小,因而通信速度很快。
  2. 无连接:所谓的无连接指的是,每次连接只处理一个请求。服务器处理完客户的请求后,会立即断开连接。
  3. 无状态:HTTP 不会记录每次请求的身份信息,因此前一次请求和后一次请求相互“不认识”。
  4. 可传递任意数据类型:HTTP 允许传输任意数据类型,只需要在请求头中标识数据类型 Content-Type 即可。
  5. 一对一通讯:每次 HTTP 请求,都是一个客户端对应一个服务器端。

1.2.HTTP 组成

  1. 请求对象 Request(客户端请求)。
  2. 响应对象 Response(服务器响应)。

每次 HTTP 请求都是由一次请求和一次响应构成的,如下图所示:

1.3.为什么会有Cookie、Session、Token?

HTTP协议是无状态协议,所谓的无状态是指:默认情况下 HTTP 协议的客户端和服务器之间的这次通信,和下次通信之间没有直接的联系。客户端每次想要与服务端通信,都必须重新与服务端链接。

但是实际开发中,很多时候是需要知道请求之间的关联关系的,需要判断两次请求是否为同一个人。

例如登陆⽹站成功后,第⼆次访问的时候服务器就能知道该请求是否是已经登陆过了。

图中的 "令牌" 通常就存储在 Cookie 字段中。

为了解决这个问题,就迫切需要一种方式知道发起请求的客户端是谁?此时就有了Cookie、Session、Token,它们就可以解决客户端标识的问题。

2.Cookie

cookie是保存在客户端或者浏览器端的一小块数据,大小限制在4KB左右。

那么如何通过cookie来实现用户确定或者权限确定呢?以网站用户登录操作为例:

看到大致可以分为以下几个步骤:

  1. 客户端发送请求到服务端(比如登录请求)。
  2. 服务端收到请求后生成一个session会话。
  3. 服务端响应客户端,并在响应头中设置Set-Cookie。
  4. 客户端收到请求后,如果服务器给了Set-Cookie,那么下次浏览器就会在请求头中自动携带cookie。
  5. 客户端发送其它请求,自动携带cookie,cookie中携带有用户信息等。
  6. 服务端接收到请求,验证cookie信息。比如通过sessionId来判断是否存在会话,存在则正常响应。

举个例子:

  1. 到了医院先挂号,挂号时候需要提供身份证,同时得到了⼀张 "就诊卡",这个就诊卡就相当于患者的 "令牌"。
  2. 后续去各个科室进⾏检查,诊断,开药等操作,都不必再出示身份证了,只要凭就诊卡即可识别出当前患者的身份。
  3. 看完病了之后,不想要就诊卡了,就可以注销这个卡。此时患者的身份和就诊卡的关联就销毁了。 (类似于⽹站的注销操作)
  4. ⼜来看病,可以办⼀张新的就诊卡,此时就得到了⼀个新的 "令牌"。

3.Session

在上⾯的例⼦中,就诊卡就是⼀张 "令牌",要想让这个令牌能够生效,就需要医院这边通过系统记录每个就诊卡和患者信息之间的关联关系。

类似于服务器同⼀时刻收到的请求是很多的,服务器需要区分清楚每个请求是从属于哪个⽤户,就需要在服务器这边记录每个⽤户的令牌以及⽤户的信息对应关系。

这个就是 Session 会话机制所做的⼯作。会话的本质就是⼀个 "哈希表",存储了⼀些键值对结构。key 就是令牌的 ID(token/sessionId),value 就是⽤户信息。(⽤户信息可以根据需求灵活设计)

  • session 由服务端创建,当一个请求发送到服务端时,服务器会检索该请求里面有没有包含 sessionId 标识。
  • 如果包含了 sessionId,则代表服务端已经和客户端创建过 session,然后就通过这个 sessionId 去查找真正的 session。
  • 如果没找到,则为客户端创建一个新的 session,并生成一个新的 sessionId 与 session 对应。
  • 然后在响应的时候将 sessionId 给客户端,通常是存储在 cookie 中。
  • 如果在请求中找到了真正的 session,验证通过,正常处理该请求。

总之每一个客户端与服务端连接,服务端都会为该客户端创建一个 session,并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端,客户端将 sessionId 存到 cookie 中。

sessionId 是由服务器⽣成的⼀个 "唯⼀性字符串"。

从 session 机制的⻆度来看,这个唯⼀性字符串称为 "sessionId"。

但是站在整个登录流程中看待,也可以把这个唯⼀性字符串称为 "token"。

sessionId 和 token 就可以理解成是同⼀个东⻄的不同叫法。(不同视⻆的叫法)

servlet 的 Session 默认是保存在内存中的,如果重启服务器则 Session 数据就会丢失。

通常情况下,cookie 和 session 都是结合着来用,当然也可以单独只使用 cookie 或者单独只使用 session,这里就将 cookie 和 session 结合着来用。过程图如下:

PS:Cookie 和 Session 的联系与区别

一、联系:

从前面可以看出,cookie和session之间主要是通过sesssionId关联起来的,所以:sessionId是cookie和session之间的桥梁。换个说法,session是基于cookie实现的。

二、区别:

  • cookie 是客户端的机制,session 是服务器端的机制。所以session比cookie更加安全。
  • cookie只支持存储字符串数据,session可以存储任意数据。
  • cookie的有效期可以设置较长时间,session有效期都比较短。
  • session存储空间很大,cookie有限制。
  • cookie 和 session 经常会在⼀起配合使用(session会将会话id存储到cookie中)。但是不是必须配合。
  1. 完全可以⽤ cookie 来保存⼀些数据在客户端,这些数据不⼀定是⽤户身份信息,也不⼀定是 token / sessionId。
  2. Session 中的 token / sessionId 也不需要⾮得通过 cookie / Set-Cookie 传递。

4.Token

前面说的 sessionId 可以叫做令牌,令牌顾名思义就是确认身份的意思,服务端可以通过令牌来确认身份。

使用cookie和session有以下缺点:

  1. 增加请求体积,浪费性能,因为每次请求都会携带 cookie。
  2. 增加服务端资源消耗,因为每个客户端连接进来都需要生成 session,会占用服务端资源的。
  3. 容易遭受 CSRF 攻击,即跨站域请求伪造。
  4. 所以就有了民间的认证方式,token方式。

4.1.token的组成

token 其实就是一串字符串而已,只不过它是被加密后的字符串,它通常使用 uid(用户唯一标识)、时间戳、签名以及一些其它参数加密而成。将 token 进行解密就可以拿到诸如 uid 这类的信息,然后通过 uid 来进行接下来的鉴权操作。

4.2.token是如何生成的?

前面说 cookie 是服务端设置了 set-cookie 响应头之后,浏览器会自动保存 cookie,然后下一次发送请求的时候会自动把 cookie 携带上。但是说 cookie 算是一种民间的实现方式,所以说浏览器自然不会对它进行处理。token 主要是由服务器生成,然后返回给客户端,客户端手动把 token 存下来,比如利用 localstorage 或者直接存到 cookie 当中也行。

4.3.token认证流程

  1. 客户端发送请求,比如用户输入用户名和密码后登录。
  2. 服务器端校验用户名和密码后,将用户id和其它信息进行加密,生成token。
  3. 服务端将token响应给客户端。
  4. 客户端收到响应后将token存储下来。
  5. 下一次发送请求后需要将token携带上,比如放在请求头中或者其他地方。
  6. 服务端取到token后校验,校验通过后则正常返回数据。

用图进行显示,如下:

5.小结

6.核心方法

6.1.HttpServletRequest 类中的相关方法

6.2.HttpServletResponse 类中的相关方法

6.3.HttpSession 类中的相关方法

⼀个 HttpSession 对象⾥⾯包含多个键值对,我们可以往 HttpSession 中存任何我们需要的信息。

6.4.Cookie 类中的相关方法

每个 Cookie 对象就是⼀个键值对。

  • HTTP 的 Cooke 字段中存储的实际上是多组键值对,每个键值对在 Servlet 中都对应了⼀个 Cookie 对象。
  • 通过 HttpServletRequest.getCookies() 获取到请求中的⼀系列 Cookie 键值对。
  • 通过 HttpServletResponse.addCookie() 可以向响应中添加新的 Cookie 键值对。

PS:代码实战

①cookie写入和读取

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.time.LocalTime;

@WebServlet("/cookie")
public class CookieServlet extends HttpServlet {
    /**
     * 写cookie到客户端
     *
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Cookie cookie = new Cookie("myCookie", "Bite:" + LocalTime.now());
        //将cookie发送到前端
        resp.addCookie(cookie);
        resp.setContentType("text/html; charset=utf-8");
        resp.getWriter().println("cookie添加成功!");
    }

    /**
     * cookie读取
     *
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Cookie[] cookies = req.getCookies();
        StringBuilder builder = new StringBuilder();
        if(cookies != null && cookies.length > 0) {
            for (Cookie  item : cookies) {
                builder.append(item.getName() + ":" + item.getValue() + "<br>");
            }
        }
        //将cookie发送到前端
        resp.setContentType("text/html; charset=utf-8");
        resp.getWriter().println(builder.toString());
    }
}

当更换浏览器后,cookie就没了。因为cookie是写入到当前的客户端的,不同的客户端,cookie不同。

②session写入和读取

import lombok.Getter;
import lombok.Setter;
import lombok.ToString;

@Setter
@Getter
@ToString
public class User {
    private int id;
    private String name;
    private String password;
    private int age;
    //...
}
import model.User;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

@WebServlet("/sess")
public class SessionServlet extends HttpServlet {
    private static final String SESSION_USER_KEY = "SESSION_USER_KEY";

    /**
     * 读session
     *
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        resp.setContentType("text/html; charset=utf-8");
        //1.得到session对象
        HttpSession session = req.getSession(false);
        //false表示有会话,返回session对象,没有会话,返回null
        //true表示有会话,返回session对象,没有会话,创建一个会话,会话在程序中就代表是否登录
        if(null == session) {
            //没有登录
            resp.getWriter().println("抱歉:尚未登录!");
        } else {
            //已登录,打印用户的信息
            //2.从session中得到关联的对象
            User user = (User) session.getAttribute(SESSION_USER_KEY); //①得到所有的cookie;②匹配你的token;③根据value匹配映射的对象
            resp.getWriter().println("登录成功 | " + user);
        }
    }

    /**
     * 写session
     *
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        resp.setContentType("text/html; charset=utf-8");
        String result = "操作失败!";
        //1.得到session
        HttpSession session = req.getSession(true);
        if(null != session) { //得到(或创建)会话
            //2.将用户对象存储到session
            User user = new User();
            user.setName("admin");
            user.setPassword("admin");
            session.setAttribute(SESSION_USER_KEY, user); //①生成token(sessionId);②token关联到用户对象;③发送存储cookie信息到客户端(token)
            result = "session 写入成功!";
        }
        resp.getWriter().println(result);
    }
}

注意观察cookies由1变为了2。因为session是依靠了cookie存储会话id的。

此处也可以在其他浏览器上进行伪造:

当重启服务器后,会话就没了,浏览器重新访问:

再次用Postman发送请求:

Cookie-SessionToken认证方式
alivinFer的个人博客
08-28 851
本篇文章主要介绍了cookiesessiontoken的基本概念,以及两种不同的认证方式
Django高级之-cookie-session-token
最新发布
Renweif的博客
03-07 1207
2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串,每个人收到的都不一样, 每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了。如果访问服务器多了, 就得由成千上万,甚至几十万个。
什么是Cookie?如何实现Cookie的读写?
zy1992As的博客
05-09 377
Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续,这些都是Cookies的功用。说明:点击示例网址,这些广告推送的商品是基于你曾经在淘宝上点击的商品类别等条件筛选出来的,看上去这是在凤凰网上访问淘宝网的Cookie,但是事实不是这样的,一般是采用iframe标签嵌套一个淘宝的广告页面到凤凰网的页面上,所以淘宝的Cookie并没有被凤凰网读取到,而是依然交给淘宝网读取的,可以通过“开发者工具”查看元素,如下图。
本地存储——Cookie
weixin_46515434的博客
09-05 1314
Cookie全称是HTTP Cookie,简称Cookie,是浏览器存储数据的一种方式,因为存储在用户本地,而不是存储在服务器上,是本地存储,一般会自动随着浏览器每次请求发送到服务器端。读取的是一个由名值对构成的字符串,每个名值对之间由;读取到的是全部的cookie,原生的cookie不能根据名来读取值,但可以通过封装cookie来进行。利用Cookie跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等。max-age:值为数字,表示当前时间+多少秒后过期,单位是秒。
Cookie 第二章 写入cookie
涛涛的博客
10-05 1266
第二章 写入cookie 每个cookie都是一个名/值对;可以把字符串赋值:document.cookie=“UserId=123”; 在cookie 的名或值中不能使用分号(;)、逗号(,)、等号(=)以及空格。所以要使用escape/encodeURIComponent来包裹要赋的值,使用十六进制来表示。然后读取的时候,再用unescape/decodeURIComponent来解码,得到原来的值。 如果要赋多个值,只能一个一个单独赋值。(资料里说可以用;(分号)来隔开,我测试不成功)(
cookie中储存token令牌】express的应用场景
weixin_48813932的博客
04-18 2032
首先思考一个问题,为什么会出现cookie? 假设一个新闻网站,服务器有一个接口,通过请求这个接口,可以添加发布一篇文章。但是,不是任何人都有权力做这种操作的 服务器如何知道请求接口的人是有权力的呢?只有登录过的管理员才能做这种操作 问题是,客户端和服务器的传输使用的是http协议,http协议是无状态的,什么叫无状态,就是服务器不知道这一次请求的人,跟之前登录请求成功的人是不是同一个人。由于http协议的无状态,服务器忘记了之前的所有请求,它无法确定这一次请求的客户端,就是之前登录成功的那个客户端。
SessionCookie
qq_43649937的博客
11-23 1187
sessioncookie
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
前后端的身份认证--cookie--session--jwt--token
m0_67402341的博客
03-06 1012
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 1.服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 2.服务器端渲染的优缺点 优点: 1.前端耗时少 因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端 更省电 2.有利于SEO 因为服务器端响应的是完整的HT
解决cookie写入问题
飞鱼的博客
11-08 962
1.解决cookie写入问题 接下来我们查看首页cookie: 什么都没有,为什么? 1.1.问题分析 我们在之前测试时,清晰的看到了响应头中,有Set-Cookie属性,为什么在这里却什么都没有? 我们之前在讲cors跨域时,讲到过跨域请求cookie生效的条件: 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。 响应头中的Access-...
Cookie基础
Ahrichan的博客
05-04 1018
关于Cookie: 1、Cookie 是什么 Cookie 全称 HTTP Cookie,简称 Cookie // 是浏览器存储数据的一种方式 // 因为存储在用户本地,而不是存储在服务器上,是本地存储 // 一般会自动随着浏览器每次请求发送到 服务器端 2、Cookie 有什么用 利用 Cookie 跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等 3、在浏览器中操作 Cookie 不要在 Cookie 中保存密码等敏感信息 Cookie 的基本用法: 1.写
cookie写入 和读取
Heihei 's note
03-15 1万+
Cookie写入和读取:先写一个HTML页面,在HTML表单提交后,action = “cookie_demo1/hello”提交到servlet,servlet获取到表单内容,并且设置cookie给浏览器,同时跳转到注册页面2.html,在2.html填写相应的内容后action=“cookie_demo1/hello1”servlet1获取2.html中的内容并且获取到浏览器中的cookie...
token的三点注意项
weixin_30653023的博客
02-06 371
token的安全是极度重要的 1:token的唯一性, 它代表着来自某应用系统用户的一次成功登录。我们可以利用java util包工具直接生成一个32位唯一字符串来实现。 String token = UUID.randomUUID().toString(); 同时,我们定义一个javabean, TokenInfo 来承载token所表示的具体内容,即某个应用系统来的某个用户本次通过了认...
[gulimall] cookie写入问题
浅夜
12-22 559
问题起源 场景1: 在微服务场景下,用户登录是通过认证服务来完成的,登录成功会将sessionId存在cookie中,但是当登录成功跳转到首页时并不能获取到session信息,原因就是首页在另外一个服务中,此时cookie出现了跨域问题获取不到。 场景2: feign远程调用时,也会丢失cookie,因为feign自己构造了一个新的请求,这个请求里面没有任何请求头。在异步编排时,feign还会丢失上下文信息,因为老请求的信息存在threadlocal里,开启多线程时,就获取不到老请求的信息了 cookie
CookieSession的工作流程
weixin_48271092的博客
05-27 2140
CookieSession的工作流程一、为什么有CookieSession?二、cookie/session执行流程2.1 cookie执行流程2.2 Session的执行流程三、Session/Cookie的区别 一、为什么有CookieSession? 由于HTTP协议是“无状态”协议(可以参考之前的博客HTTP协议),也就是客户端向服务器端发送请求,服务器作出响应,他们之间的连接就会断开(一次会话结束),下次客户端再给服务器端发送请求,服务器就不知道这个用户是谁了。 但是在实际的开发中,我们需要
CookieSession
buhuisuanfa的博客
04-22 571
CookieSession都是来完成一次会话内多次请求间数据共享的关联:在网站的登录功能中,需要配合使用区别:1.存储位置:Cookie将数据存储在客户端,Session将数据存储在服务器2.安全性:Cookie不安全,Session安全3.数据大小:Cookie最大3KB,Session无大小限制4.存储时间:Cookie可以长期存储,Session默认30分钟5.服务器性能:Cookie不占服务器资源,Session占用服务器资源。
cookie的读写以及前后端操作
热门推荐
学知不足,业精于勤。
12-23 1万+
cookie 相关操作
前端架构处理CookieSessionToken
ejinxian的专栏
01-27 1324
HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据。它会在浏览器下次向同一服务器再发起请求时,被携带并发送到服务器上。通常 Cookie 用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。会话状态管理(如用户登录状态、购物车等其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)
Cookie 的使用
青蛙king的博客
06-16 4187
目录 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) .....................
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值