Cookie、Session、Token

最新推荐文章于 2025-09-27 22:34:27 发布
原创 最新推荐文章于 2025-09-27 22:34:27 发布 · 170 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析Cookie和Session的工作原理及应用场景,对比二者在安全性、数据类型、存储位置、跨域支持等方面的差异,同时介绍Token机制及其在身份验证中的作用。

Cookie 和 Session 的区别

  1. Cookie 数据存储在客户端,对客户端是可见的,所以客户端的一些程序可能会窥探或者修改Cookie里的内容,而Session 数据存储在服务端,对客户端不可见,所以 Session 相比 Cookie 更安全。
  2. Cookie 只能存储 ASCII (阿寺kei)字符串,Session 可以存储任何类型的数据。
  3. Cookie可以通过设置过期时间来灵活设置不同场景下对用户信息的保存时间,而Session不能像cookie那样长久的保存信息,因为如果对它长久保存,那么服务端的Session就会越来越多,从而导致内存溢出。
  4. Cookie 支持跨域名访问,Session 不支持跨域名访问。(跨域是指从一个域名的网页去请求另一个域名的资源)
  5. 单个 Cookie 保存的数据<=4KB,一个站点最多保存20个 Cookie;而对于 Session 来说没有上限,但是出于对服务器端性格的考虑,Session 内尽量不要存放过多的东西。

Cookie

  • Cookie 由服务端生成,存储在客户端,用于保存用户信息。
  • Cookie 主要用于三个方面:
    • 会话状态管理:比如用户登录状态、购物车、游戏分数等。
    • 个性化设置:比如用户自定义设置。
    • 浏览器行为跟踪:比如跟踪分析用户的行为。
  • Http 协议是无状态的,如果想记录用户的状态可以使用 Cookie 保存 session 或 token ,然后向后端发送请求时带上 Cookie,这样后端就能取到 session 或 token了。

Session

  • Session 存储在服务端,用于在服务端记录客户端的信息。
  • 相比 Cookie ,安全性更高。

Token

  • 由于 Session 存储在服务器中,就会出现容量开销问题,如果将 Session 集中存储在一台机器上,虽然可以解决容量不足的问题,但如果这台机器挂了,那 Session 就都用不了了,即便对这台机器做出个集群,也会是个负担。可以采用服务器不存放 Session,而是通过 Token 来进行验证的方法。
  • token具体原理是:服务器对发来的数据加上一个密钥,做成一个签名,把这个签名和数据一起作为token发送给客户端。客户端存储token,并且再次发起请求时带上这个token,服务器收到信息后会验证token,验证方法是对这个数据再计算一次签名,然后和token中的签名进行比较,如果不同,就表示数据被篡改过了。

如何使用Session进行身份验证?

  1. 用户向服务器发送用户名和密码用于登陆系统。
  2. 服务器验证通过后,服务器为用户创建一个 Session,并将 Session 信息存储起来。
  3. 服务器向用户返回一个 SessionID,写入用户的 Cookie。
  4. 当用户保持登录状态时,Cookie 将与每个后续请求一起被发送出去。
  5. 服务器可以将存储在 Cookie 上的 SessionID 与存储在内存中或者数据库中的 Session 信息进行比较,以验证用户的身份,返回给用户客户端响应信息的时候会附带用户当前的状态。
Session与Cookie的区别:
  • Cookie和Session都是会话技术,Cookie运行在客户端,Session运行在服务器端。
  • Cookie 数据存储在客户端,容易被恶意查看。可以将 Cookie 信息加密,然后在服务器解密来提高安全性。
  • Cookie 只能存储字符串,而 Session 则可以存储任何类型的数据,因此在考虑数据复杂性时首选 Session;
Cookie Session Token 鉴权的区别和原理
m0_65431718的博客
07-07 1315
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 1044
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
Cookie Session Token
段王爷的博客
02-01 1134
Cookie Cookie是客户端保存数据的一种机制 会话cookie 保存在浏览器内存中,浏览器关闭后就消失了,CTRL+SHIFT+DEL可以删除 持久化cookie 保存在本地磁盘上,一般会有一定的过期时间 例如chrome浏览器:C:\Users\DLZ\AppData\Local\Google\Chrome\User Data\Default\Cache Session session是服务端保存数据的一种机制,用户的一些关键信息会保存在sessionsession保存在服务
sessioncookietoken
m0_69777632的博客
09-12 1721
特性CookieSessionJWT存储位置客户端(浏览器)服务器端客户端(通常存储在浏览器的localStorage、sessionStorage或cookie中)数据类型主要为字符串(可序列化复杂对象)任意数据类型JSON格式,包含Header、Payload和Signature大小限制一般不超过4KB(不同浏览器可能有所不同)无明显限制,但受服务器内存和配置影响取决于编码后的长度,但通常较小生命周期可设置过期时间,默认为浏览器关闭时失效。
cookiesessiontoken详解和区别
qq_37292005的博客
07-07 1786
cookiesessiontoken工作原理、特点、应用场景及三者区别
一文搞懂 CookieSessionToken 的区别(有点细)
最新发布
技术分享
09-27 817
本文通俗易懂地解释了CookieSessionToken的区别及其应用场景。Cookie是存储在客户端的小型文本文件,用于记住登录状态等;Session是服务端维护的用户状态容器,依赖Cookie中的sessionId来识别用户;Token则是加密的客户端认证凭证,支持跨域和无状态验证。三者在存储位置、安全性、跨域支持和典型应用等方面存在显著差异。实际开发中,应根据需求选择合适的技术:Cookie适合客户端数据存储,Session适合服务端状态管理,而Token则适用于前后端分离和分布式系统。
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 4428
Cookie Session Token讲解及用法
SessionCookieToken
yyzz7579的博客
10-12 1082
token不同,token是开发者为了防范csrf而特别设计的令牌,浏览器不会自动添加到headers里,攻击者也无法访问用户的token,所以提交的表单无法通过服务器过滤,也就无法形成攻击。服务器端接受客户端请求后,建立一个session,并发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部。该头部包含了sessionId。现在大多都是Session + Cookie,但是只用session不用cookie,或是只用cookie,不用session在理论上都可以保持会话状态。
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 4001
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
CookieSessionToken、JWT详解
【可全包】本人程序员,不需要做任何吹嘘,只是实在写点程序,写点文档,熟悉各类主流框架,SSM,SpringBoot,Flask,Djiango,Mysql,Sqlite,VUE,Uniapp等,各类程序设计专家,优质作者
05-23 1031
CookieSessionToken、JWT
浅析cookie session token
lbw_15189736971的博客
08-28 3462
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
网络知识点【晴】
热门推荐
dl674756321的博客
11-18 1万+
TCP 1.OSI七层模型 物理层:利用传输介质为数据链路层提供物理连接,实现比特流的透明传输。 数据链路层:负责建立和管理节点间的链路。 网络层:通过路由选择算法,为报文或分组通过通信子网选择最适当的路径。 传输层:向用户提供可靠的端到端的差错和流量控制,保证报文的正确传输。 会话层:向两个实体的表示层提供建立和使用连接的方法。 表示层:处理用户信息的表示问题,如编码、数据格式转换和加密解密等...
HTTPS与HTTP的区别、HTTP1.0和1.1和2.0的区别
dl674756321的博客
05-08 2376
一、HTTP 的优缺点(端口80) HTTP 的优点是连接简单、效率高 HTTP 的缺点: 使用明文进行通信,内容可能会被窃听; 不验证通信方的身份,通信方的身份有可能遭遇伪装; 无法证明报文的完整性,报文有可能遭篡改。 二、HTTPS 与 HTTP 的区别(超文本传输安全协议,端口443) 端口号不同:http 的端口号是80,而 https 的端口号是 443. 安全性不同:http 传输的数据是未加密的,而 https 是先用 ssl 建立安全的通信线路,然后再在这条线路上进行 http 通信,
GET 和 POST、转发和重定向
dl674756321的博客
05-08 1714
GET 和 POST 的区别 GET 用于获取资源,POST 用于传输实体主体。 GET 的参数放在 url 中,POST 的参数放在实体主体中。 GET 不会改变服务器端的数据,是安全的。POST 会更新服务器端的数据,是不安全的。 GET 是幂等的,连续调用多次,客户端接收到的结果是一样的;POST 不是幂等的,如果调用多次,会增加多行记录。 对于 GET 方式的请求,浏览器会把请求头和请求体一并发送出去;而 POST 先发请求头,再发请求体,实际上是两次请求。 转发和重定向的区别 转发是服务器行
【计算机网络7】五. 应用层(HTTP)
dl674756321的博客
11-21 663
一. 应用层   为特定应用程序提供数据传输服务。协议有 HTTP、DNS 等协议。数据传输单位是报文。 二. DNS (域名系统)   DNS 是一个分布式数据库,提供了主机名和 IP 地址之间相互转换的服务。 ...
输入URL地址发生了什么?DNS解析过程
dl674756321的博客
12-01 621
输入URL地址发生了什么?DNS解析过程 DNS解析:浏览器查询DNS服务器,获取域名的IP地址,具体过程是:先查找浏览器缓存,如果没命中,查询系统缓存,也就是 hosts 文件。如果没命中,查询路由器缓存。如果没命中,请求本地域名服务器解析域名,没有命中就进入根域名服务器进行查询。没有命中就返回顶级域名服务器 IP 给本地 DNS 服务器。本地 DNS 服务器请求顶级域名服务器解析,没有命中就...
【计算机网络7】体系结构、各层协议
dl674756321的博客
11-20 618
1. 体系结构 五层协议的体系结构: 应用层: 通过应用进程间的交互来完成特定网络应用。应用层协议有域名系统DNS、HTTP协议、支持电子邮件的SMTP协议。数据单元为报文。 传输层: 为应用进程之间提供端到端的逻辑通信。具有复用和分用功能,复用就是多个应用层进程可以同时使用下面传输层的服务;分用则相反,指传输层把收到的信息分别交付给上面应用层中的相应进程。主要使用传输控制协议TCP和用户数据...
【计算机网络7】四. 传输层 (TCP/UDP)
dl674756321的博客
11-21 526
一. 传输层   为进程提供通用的数据传输服务。由于应用层协议很多,定义通用的传输层协议就可以支持不断增多的应用层协议。传输层具有复用和分用功能,复用就是多个应用层进程可以同时使用下面传输层的服务;分用则相反,指传输层把收到的信息分别交付给上面应用层中的相应进程。主要使用传输控制协议TCP和用户数据报协议UDP。 二. UDP(用户数据报协议) UDP是无连接的 尽最大可能交付 没有拥塞控制 面...
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端浏览器在其后面的HTTP请求中向同一个服务器发送请求时,它将在具有相同域名的请求中包含此CookieSession是由服务器认证用户身份并在其后续请求之间保存数据的机制。在建立Session时,服务器将赋予一个Session ID(通常是一个加密字符串),它将被存储在Cookie中并发送回客户端浏览器中。客户端浏览器将随后请求中包含该Cookie,并且服务器可以据此确定客户端浏览器的身份和客户端浏览器所需的数据。 Token是由服务器发出的一种文本字符串,用于验证客户端请求和服务器的响应。Token不是在客户端存储的,而是在服务端验证,一般包含加密的用户信息,客户端需要通过输入用户名和密码或其他凭据来认证身份以获取Token,然后在后面的请求中将其发送给服务器。 在web开发中,CookieSessionToken通常用于管理用户身份验证和状态维持。Cookie是最基本的机制,Session提供了更安全的身份验证和数据保存,而Token则对安全性进行了改进,可用于跨浏览器和跨设备使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值