session cookie token 的区别

最新推荐文章于 2024-05-23 16:03:07 发布
原创 最新推荐文章于 2024-05-23 16:03:07 发布 · 307 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统 #编程语言 #计算机网络

本文介绍了HTTP协议无状态特性导致的Cookie和Session的出现,详细阐述了Cookie的类型、作用域及安全特性,以及Session的工作原理和潜在问题。同时,提到了Token作为身份验证方式的优势,并对比了Cookie、Session和Token之间的差异。讨论了如何通过secure和httponly标记提高Cookie的安全性,以及Session在负载均衡场景下的挑战。最后,分析了Session和Token在安全性方面的优劣。

  • session 和 cookie为什么会出现

    • http协议无状态,即服务器不知道客户端的历史请求记录

  • cookie的定义

    • http协议中的cookie包括web cookie和浏览器cookie,其是服务器发送到浏览器的一小段数据,浏览器会将cookie进行存储并在下一次发送请求时将cookie一起发送,通常,cookie用于判断两个请求是否来自于同一浏览器,如用户保持登录状态
    • cookie主要用于三个目的
      • 会话管理:登录、购物车、游戏得分等服务器应该记住的内容
      • 个性化:用户偏好、主题或其它设置
      • 追踪:记录和分析用户行为
    • cookie的分类:
      • session cookie
        • 不包含到期日期,存储在内存中而不是磁盘中,浏览器关闭时此cookie将永久消失
      • persistent cookie
        • 包含有效期,被视为持久化cookie,在到指定日期时,cookie将从磁盘中删除
    • cookie的secure和httponly标记
      • 安全的cookie需经过https协议通过加密方式发送到服务器,但即使是安全的也不应该将敏感信息存储在cookie中,因为其本质上不安全
      • httponly时微软对cookie做的扩展,其值指定cookie是否可通过客户端脚本访问
      • 会话中若缺少httponly则会导致攻击者通过程序获取到用户的cookie信息,造成cookie信息泄露增加攻击者的跨站脚本攻击威胁
    • cookie的作用域
      • Domain和Path标识定义了cookie的作用域,即cookie应该发送给哪些URL

  • session的定义

    • 客户端请求服务端,服务端开辟一块内存空间,即session对象,存储结构为concurrentHashMap.同时生成对应的sessionId,并通过响应头 set-cookie:JSESSIONID = XXX 命令向客户端发送要设置cookie的响应,客户端收到响应后在本机设置cookie信息,该cookie的过期时间为浏览器会话结束,客户端每次向同一网站发送请求时会携带该cookie信息, 服务器可以利用session存储客户端在同一会话期间的记录,服务器通过读取请求头中的cookie信息获取JSSESION的值得到请求的sessionid

  • session的缺点

    • 无法应对负载均衡问题
      • A服务器存储了session,但若某时间段内A的访问量激增,通过负载均衡机制,会将其转发到B进行访问,但B服务器中无A的session,会导致session的失效

  • token的定义

    • 令牌,是用户身份的验证方式
    • 最简单的token由 uid (用户唯一身份标识)、time(当前时间的时间戳)、sign(签名)组成

  • cookie与session的区别

    • cookie数据存储在客户端,session数据放在服务器上
    • cookie不安全,且保存数据有限
    • session一定时间内保存在服务器上,当访问增多,占用服务器的性能

  • cookie与token

    • cookie不允许跨域访问,但token支持,前提是传输的用户认证信息通过http头传输
    • token是令牌,当用户授权一个程序时,依据token判断用户是否授权该软件
    • cookie和token均存储在客户端

  • session与token

    • session中的sessionid因为不可预测性而被认为是安全的,但token的认证和授权机制使token安全性比session好

ref: https://cloud.tencent.com/developer/article/1704064

CookieSessionToken区别
weixin_51797324的博客
09-04 996
它们常被一起讨论,但不是一个维度的概念。CookieSession实现的一种方式(传递Session ID的载体)。Session的核心是服务器端存储。:这是两种不同的会话管理思路。Session是“有状态”的,服务器记得谁是谁。Token是“无状态”的,服务器不记得谁是谁,每次请求时客户端出示“令牌”(Token)自证身份。现代开发常用组合传统Web应用CookieSession前后端分离/APP/微服务Token(存储在客户端的或Cookie中,但通过传输)
彻底搞清sessioncookietoken区别
最新发布
weixin_70787959的博客
06-20 925
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全与跨域问题;Session存储于服务端,通过SessionID与Cookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
cookiesessiontoken 区别
枫飘长安的博客
03-24 1602
cookiesessiontoken区别
cookiesessiontoken区别
Ladyiang的博客
08-16 425
cookiesessiontoken区别
sessioncookietoken区别
热门推荐
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
SessionCookieToken区别
jishuxhengjiu的博客
05-23 1111
CookieSession是存储在客户端服务端的认证方式,用于记录用户的身份信息会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念它们之间是如何相互协作的。 ...
cookiesessiontoken区别
weixin_48661004的博客
12-03 2122
cookiesessiontoken的特点区别,HTTP状态
cookiesessiontoken区别
qq_45903688的博客
11-28 646
cookiesessiontoken区别 cookie 键值对,一般存储一些浏览器发送给客户端的一小段数据,一般用来记录状态。 cookie是前端存储的一种,但相比于localStorage等其他方式,借助http头,浏览器能力, cookie可以做到无感知。 过程: 在提供标记的接口,通过http返回头Set-Cookie字段,直接种到浏览器上 浏览器发起请求时,会自动把cookie通过http请求头的cookie字段,带给接口 配置: Domain(域)/Path,cookie默认会绑定一级域名
sessioncookietoken区别
weixin_42672802的博客
08-26 2738
Cookiesessiontoken区别
#软件测试面试之接口测试#
weixin_63089870的博客
04-19 283
http的连接很简单,是无状态的;同样是因为get请求的参数放在url里边,所以安全性是比较差的,post的请求参数放在body里边,所以安全性就相对于好一点。get请求参数因为被放到url里边,url的长度是受限的,它最大就是2048个字符,而Post的长度的是没有限制的。参数必填校验,参数长度校验,参数数据类型校验,参数数据有效值校验,参数数据默认值校验参数与参数组合数据校验。httphttps使用的是完全不同的链接方式,用的端口也不一样,前者是80,后者是443。session服务器缓存技术;
终于有人说明白了sessioncookietoken区别
04-23 1239
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划总结,
CookieSessionToken三者的区别
qq_61991235的博客
02-11 4498
CookieSessionToken三者的区别
session,cookie,token区别
程序员路同学
12-03 232
session,cookie,token区别 seesion: 当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie: cookie是保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把co
Session,cookie,token区别
qq_41553728的博客
04-13 710
Session,cookie,token区别
cookie, session, token区别
biubiubiubibibi的博客
06-23 391
cookie, session, token区别, 计算机网络
cookiesessiontoken区别
03-09
### CookieSession Token区别 #### 定义与工作原理 Cookie 是一种小型文本文件,由服务器发送给浏览器并存储于用户的设备上。当用户再次访问同一网站时,浏览器会将这些 Cookies 发送回服务器[^1]。 Session 是一种用于跟踪用户状态的技术,在服务端创建唯一的标识符并与特定用户关联起来。每次HTTP请求都通过该唯一ID来识别属于哪个用户的交互过程[^2]。 Token 则是一种自包含的字符串形式的身份验证凭证,通常采用 JSON Web Tokens (JWT) 格式编码而成。它包含了关于用户的信息以及签名部分以确保其真实性。客户端可以在本地(如浏览器中的 `localStorage` 或者作为 HTTP 请求头的一部分)保存此令牌,并随后续请求一起提交给 API 接口进行权限校验[^3]。 #### 存储位置 Cookies 被存放在客户端机器上的浏览器环境中;Sessions 数据则主要位于服务器一侧;而Tokens既可以被放置在前端应用内部也可以嵌入到API调用里去。 #### 使用场景 对于传统的Web应用程序来说,如果前后端部署在同一台物理机或者同一个域名之下,则可以考虑使用 Sessions 来管理登录态其他临时性的个人信息。然而随着现代互联网架构的发展趋势向微服务体系迈进,分布式部署变得越来越普遍,此时利用无状态特性的 Tokens 就显得尤为重要了——它们不仅能够跨越多个子域甚至完全独立的服务之间传递认证信息,而且减少了对共享内存资源的需求从而提高了系统的可伸缩性性能表现。 #### 安全特性对比 由于 Sessions 需要依赖于服务器端维护的状态信息,因此容易受到诸如 CSRF 攻击的影响。相比之下,基于 Token 的身份验证方案更加灵活且具备更强的安全保障措施,比如可以通过设置较短的有效期来降低泄露风险,同时支持刷新机制以便长期保持有效连接而不必频繁重新输入密码等敏感资料。 ```python import jwt def create_token(user_id, secret_key): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # Python3 中返回的是bytes类型数据,需解码成str ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值