Cookie、Session、token的区别

最新推荐文章于 2025-09-04 18:10:44 发布
原创 最新推荐文章于 2025-09-04 18:10:44 发布 · 428 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #安全

本文详细阐述了Cookie、Session和Token在保持用户登录状态中的作用。Cookie是客户端存储数据的容器,但安全性较低;Session是服务器端的会话,通过SessionID与客户端交互,减轻服务器负担;Token,特别是JWT,将用户信息加密后发送给客户端,提供更安全的认证方式。

首先要明确的是,cookie、session、token的主要作业就是在浏览器上保存用户的登录态。其实就是实现用户在网页上登录过一次后,一段时间内再次访问该网页不需要重新登陆,会实现自动登录的一个效果。

Cookie:

cookie是客户端用来存放数据的一个容器,大小大约为4K,最原始的实现保存用户登录态的方法就是使用cookie直接保存用户的用户名和密码。也就是说,在用户第一次登录的时候,我们将他的用户名和密码保存在cookie中,并设置cookie的过期时间,那么在cookie过期之前,我们每次访问这个网页,客户端就会自动把cookie中存储的用户登录信息发送给服务器,自动进行登录。

这就导致了Cookie十分不安全:黑客可以通过浏览器中的Cookie直接获得用户的用户名密码,进行非法操作。

Session:

Session其实是服务器中的一个会话,也就是服务器中保存一个客户端的域。session保存登录态其实是要结合客户端的cookie或者localStorage、sessionStorage来实现的。当用户第一次登录的时候,发送登录信息给服务器,服务器会创建一个Session,也就是一个和客户端进行会话的域。然后服务器给这个Session生成一个SessionID,里面同时生成了一系列相关配置信息,经过加密后发送给客户端。客户端用cookie来存储这个Session,同时根据服务器端给的配置信息设置过期时间。

但是使用Cookie会导致每一个用户登录时,服务器都要存放一个对应的SessionID和相关信息,那么服务器的负担会十分大,为了解决这个问题,就出现了token。

Token:

token是利用JWT技术,当用户第一次登陆时,服务器会生成一个JWT,服务器端只用保存这个JWT生成的密文,然后把JWT发送给客户端。客户端用cookie或者stroage保存这个JWT,然后设置存储过期时间。那么在有效期内,客户端只需要把JWT发送给服务器,服务器就知道用户的登录信息了。因为在这个技术中,JWT就像一个令牌(token)一样,所以这种方法被叫做token。

cute_ming
关注
用Requests+Cookie,轻松获取淘宝商品数据!|封装淘宝商品采集数据API接口
TinagirlAPI的博客
02-24 1034
最近身边一直有朋友说用Selenium无法爬取淘宝的商品数据了,问问有没有其他的爬取方式,来获取淘宝的商品数据。我们进入到淘宝商品数据页面,按F12打开开发者模式,对页面进行观察,我们发现淘宝页面是Ajax方式加载的,而且它的接口参数很复杂且没有固定的规律,但是Selenium又被淘宝反爬限制了,所以我们不能使用Ajax来获取商品数据。但是又有一个新的问题来了,就是在我们进入商品页面时需要登录,如果我们直接用Requests去访问商品页面的话,是会被淘宝的反爬所限制的,所以我们现在要解决这个问题。
彻底搞清sessioncookietoken区别
weixin_70787959的博客
06-20 942
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全与跨域问题;Session存储于服务端,通过SessionID与Cookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
易语言-易语言自动登录多个千牛账户
06-25
易语言-易语言自动登录多个千牛账户源码
WEB常识 五 什么是 Session
W_H_M_2018的博客
09-22 795
什么是 Session session 是另一种记录服务器和客户端会话状态的机制 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookiesession 认证流程: 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie
一文快速理解Session,Cookie,Token区别
lcgoing的博客
02-02 4574
一. 为什么需要Cookie? HTTP是一种无状态的协议,客户端与服务器建立连接并传输数据,数据传输完成后,连接就会关闭。Cookie是解决HTTP无状态性的有效手段,服务器可以设置或读取Cookie中所包含的信息。当用户登录后,服务器会发送包含登录凭据的Cookie到用户浏览器客户端,而浏览器对该Cookie进行某种形式的存储(内存或硬盘)。用户再次访问该网站时,浏览器会发送该Cookie到...
cookie session token区别
06-28
两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对...
CookieSessionToken区别
最新发布
weixin_51797324的博客
09-04 1025
它们常被一起讨论,但不是一个维度的概念。CookieSession实现的一种方式(传递Session ID的载体)。Session的核心是服务器端存储。:这是两种不同的会话管理思路。Session是“有状态”的,服务器记得谁是谁。Token是“无状态”的,服务器不记得谁是谁,每次请求时客户端出示“令牌”(Token)自证身份。现代开发常用组合传统Web应用CookieSession前后端分离/APP/微服务Token(存储在客户端的或Cookie中,但通过传输)
SessionCookieToken区别
jishuxhengjiu的博客
05-23 1128
CookieSession是存储在客户端和服务端的认证方式,用于记录用户的身份信息和会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
cookie, session, token区别
biubiubiubibibi的博客
06-23 404
cookie, session, token区别, 计算机网络
cookie session token区别
WangYouJin321的博客
05-23 670
什么是 Cookie HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。 Cookie 主要用于以下三个方面: ...
cookie,session,token区别(简单易懂)
weixin_43714543的博客
03-28 1367
cookie,session,token区别(简单易懂) cookie 浏览器与服务器进行会话时,产生一种本地存储技术 session Session其实是利用Cookie进行信息处理的,当用户首先进行了请求后,服务端就在用户浏览器上创建了一个Cookie,当这个Session结束时,其实就是意味着这个Cookie就过期了。 cookiesession的共同之处在于: cookiesession都是用来跟踪浏览器用户身份的会话方式。 cookiesession区别是: cookie数据
session,cookie,token区别
程序员路同学
12-03 235
session,cookie,token区别 seesion: 当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie: cookie保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把co
cookiesessiontoken区别
weixin_49543514的博客
03-18 722
在做接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。 Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶
cookie session token区别(简单原理理解)
Edward_Mcc的博客
01-12 2414
HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP 的无状态特性。简单来说,比如我登录淘宝网,点击我的购物车,会发起一个网络请求,因为http协议是无状态的,淘宝网并不知道是我发起的请求,会在需要输入用户密码,这显然不合理,cookiesession可以理解为在每次请求时保存我个人的信息。 Cookie HTTP 协议中的 Cookie 包括 Web Cookie
Cookie,Session,Token三者区别
托马斯的博客
06-22 736
一、简介 1. Cookie机制 cookie机制是采用在客户端保持状态的方案.cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。 cookie的内容主要包括:名字、值、过期时间、路径和域。路径与域一起构成cookie的作用范围。 若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie
cookiesessiontoken区别
wangyuancode的博客
02-22 6734
Cookie实际上是一小段的文本信息。Cookies是由服务器产生的。当浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器。浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,下次请求时会自动将此key=value值放入到Cookie字段中发给服务端。服务端收到请求报文后,发现Cookie字段中有值,就能根据此值识别用户的身份然后提供数据。 Se..
Cookie Session Token区别和用法
lenovoa68e的博客
06-06 2148
Cookie: 特性: 1.客户端会话技术(数据存储在客户端), 2.以key-value的形式进行存储, 3.cookie的操作都是通过Response来实现的 4.典型场景:购物车、登录信息 5.支持过期信息 6.清除策略:默认关闭浏览器是cookie自动清除或 配置Cookie过期时间: max-age=0 关闭就失效 max-age=None 永久有效 m...
cookiesessiontoken区别
qq_44913478的博客
06-07 237
Cookie工作流程:是解决http无状态性的一种手段工作流程:Session会话,用户打开一个页面,然后关闭浏览器,这个过程我们叫做对话客户端访问服务器的时候,服务器把客户端信息记录在服务器上Session是一种特殊的cookieCookiesession区别Token机制令牌,加密的,是服务端生成的一串字符串,工作流程:...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值