Session、Cookie、Token的区别

最新推荐文章于 2025-09-27 22:34:27 发布
原创 最新推荐文章于 2025-09-27 22:34:27 发布 · 839 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

在 Web 开发中,Session、Cookie 和 Token 是三种常见的用户身份认证与状态保持机制,它们各有不同的用途和特性。

1. Session(会话)

定义

Session 是一种 服务器端 的状态管理机制,用于存储用户的会话信息。

🔹 特点

  • 存储位置:保存在服务器端,通常是内存或数据库。
  • 安全性:比 Cookie 更安全,因为数据不存储在客户端。
  • 生命周期:通常与浏览器会话(session)相关,关闭浏览器可能会丢失,或者由服务器控制失效时间。
  • 依赖 Cookie:默认使用 Cookie 存储 SessionID,通过 SessionID 关联服务器端的数据。

📌 适用场景

适用于 用户登录态管理,如:

  • 传统网站的用户认证
  • Web 后台管理系统
  • 需要服务器记录用户数据的场景

 示例

// Java 中使用 HttpSession
HttpSession session = request.getSession();
session.setAttribute("user", "张三");

// 获取 Session
String user = (String) session.getAttribute("user");

2. Cookie

定义

Cookie 是一种 客户端 状态管理技术,用于存储小量数据,并随着请求发送给服务器。

🔹 特点

  • 存储位置:存储在客户端(浏览器)。
  • 安全性:容易被篡改、劫持,需要搭配 HttpOnlySecure 提高安全性。
  • 生命周期
    • 会话 Cookie:不设置 expiresmax-age,浏览器关闭时自动删除。
    • 持久 Cookie:设置 expiresmax-age,可以在多次会话间保持。
  • 大小限制:单个 Cookie 最大 4KB,浏览器对总数有限制(一般 20 个)。

📌 适用场景

适用于 轻量级数据存储,如:

  • 记录用户偏好(主题颜色、语言设置等)
  • 记住登录信息(记住密码、自动登录)
  • 追踪用户行为(广告、统计等)

 示例

// 设置 Cookie
document.cookie = "username=zhangsan; path=/; max-age=3600; Secure; HttpOnly";

// 读取 Cookie
console.log(document.cookie);

3. Token(令牌)

定义

Token 是一种 无状态 认证机制,不依赖服务器存储,而是通过客户端携带 Token 进行身份认证。

🔹 特点

  • 存储位置:通常保存在客户端(localStoragesessionStorageCookie)。
  • 安全性:需要结合 加密、签名(如 JWT),避免篡改。
  • 无状态:服务器不存储 Token,适用于分布式系统。
  • 生命周期
    • 短期 Token(Access Token):一般几分钟到几小时。
    • 长期 Token(Refresh Token):用于刷新 Access Token,通常有效期较长(如 7 天)。

📌 适用场景

适用于 分布式系统、RESTful API 认证,如:

  • OAuth 2.0 认证
  • JWT(JSON Web Token)认证
  • 微服务架构

示例

生成 JWT
const jwt = require('jsonwebtoken');

// 生成 Token
const token = jwt.sign({ userId: 123 }, 'your_secret_key', { expiresIn: '1h' });

console.log(token);

验证 Token

jwt.verify(token, 'your_secret_key', (err, decoded) => {
    if (err) {
        console.log("Token 无效");
    } else {
        console.log("用户 ID:", decoded.userId);
    }
});

4. 什么时候用?

  • 使用 Session:传统 Web 网站,用户认证(登录后管理 Session)。
  • 使用 Cookie:存储用户偏好、小型数据、自动登录信息。
  • 使用 Token:RESTful API 认证、微服务架构、移动端应用。

如果是 前后端分离 项目,一般采用 Token + JWT 方式认证,而不是使用 Session + Cookie。

📌 结论:

  • Session 适用于服务器端存储用户会话数据,通常用于传统网站的身份认证。
  • Cookie 适用于存储小型数据,但不安全,不能存储敏感信息。
  • Token 适用于 RESTful API,无状态认证方式更适合分布式系统。

如果你是在做 Vue + SpringBoot 项目,推荐使用 JWT Token 方式 进行身份认证,避免 Session 依赖服务器存储。

format_push
关注
SessionCookieToken区别
jishuxhengjiu的博客
05-23 1097
CookieSession是存储在客户端服务端的认证方式,用于记录用户的身份信息会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
彻底搞清sessioncookietoken区别
weixin_70787959的博客
06-20 908
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全与跨域问题;Session存储于服务端,通过SessionID与Cookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
sessioncookietoken区别
suifeng0614的博客
01-03 227
sessioncookietoken区别
一文搞懂 CookieSessionToken区别(有点细)
最新发布
技术分享
09-27 780
本文通俗易懂地解释了CookieSessionToken区别及其应用场景。Cookie是存储在客户端的小型文本文件,用于记住登录状态等;Session是服务端维护的用户状态容器,依赖Cookie中的sessionId来识别用户;Token则是加密的客户端认证凭证,支持跨域无状态验证。三者在存储位置、安全性、跨域支持典型应用等方面存在显著差异。实际开发中,应根据需求选择合适的技术:Cookie适合客户端数据存储,Session适合服务端状态管理,而Token则适用于前后端分离分布式系统。
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
cookiesessiontoken区别
零怀念的博客
08-10 511
当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名二级域名之间是允许共享使用的(靠的是 domain)。..
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
CookieSessionToken区别
weixin_51797324的博客
09-04 983
它们常被一起讨论,但不是一个维度的概念。CookieSession实现的一种方式(传递Session ID的载体)。Session的核心是服务器端存储。:这是两种不同的会话管理思路。Session是“有状态”的,服务器记得谁是谁。Token是“无状态”的,服务器不记得谁是谁,每次请求时客户端出示“令牌”(Token)自证身份。现代开发常用组合传统Web应用CookieSession前后端分离/APP/微服务Token(存储在客户端的或Cookie中,但通过传输)
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念它们之间是如何相互协作的。 ...
终于有人说明白了sessioncookietoken区别
04-23 1229
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划总结,
cookiesessiontoken详解区别
qq_37292005的博客
07-07 1673
cookiesessiontoken工作原理、特点、应用场景及三者区别
SessionCookie Token区别及应用场景
爱睡觉的欧包
03-11 1047
Cookie 是服务器发送到用户浏览器并保存在本地的一小段数据,浏览器会在后续请求中自动携带该数据。
简述一下cookiesession以及token区别
mengluzhixing的专栏
03-15 2346
安全性上在每次请求接口时需要带上token参数,cookie安全,别人可以分析存在本地的cookie并进行cookie欺骗,考虑到安全应当使用session 可以将登录信息等重要信息存放为session,其他信息可以保存在cookiecookie数据存放在客户的浏览器上、session数据放在服务器内存上、token存储在服务器数据库上。token是接口测试时鉴权码,其实也就是一个字符串,一般情况下登陆后才可以获取到token,相同都是用来签权服务器的,不同的是主要是存储位置存储容量。
一文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 2658
本文详细描述了Cookie,Session,Token的定义、鉴权原理区别cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
sessioncookietoken究竟是什么,一文搞懂!
lza20001103的博客
01-03 2073
sessioncookietoken究竟是什么,一文搞懂!
一次搞明白 SessionCookieToken,面试问题全搞定
LAMO
08-30 653
token的使用方式是客户端里存id(也就是token)、用户信息、密文,服务端什么也不存,服务端只有一段加密代码,用来判断当前加密后的密文是否客户端传递过来的密文一致,如果不一致,就是客户端的用户数据被篡改了,如果一致,就代表客户端的用户数据正常且正确。token,注册登录->服务端基于用户信息与密钥生成一个token->将token+user 返回给浏览器->再次访问时传递token+user+密文数据,后台会再次使用user与密钥生成token,与传递过来的token比较,一致则正确。
cookie, session, token 是什么 以及相应的安全考量
weixin_30726161的博客
09-29 105
Cookie cookie 最常见的是用来保存一些账号信息,比如下图里的 记住账号 就是记录到了cookie里面 cookie 更主要的是针对server通信的,我们知道http 是无状态的,那如果服务器想要知道客户端的一些状态信息怎么办,比如想知道这个客户是第几次登录上来,这就需要一个access counter, 这个 access counter 如果放到cl...
cookiesessiontoken区别
03-09
### CookieSession Token区别 #### 定义与工作原理 Cookie 是一种小型文本文件,由服务器发送给浏览器并存储于用户的设备上。当用户再次访问同一网站时,浏览器会将这些 Cookies 发送回服务器[^1]。 Session 是一种用于跟踪用户状态的技术,在服务端创建唯一的标识符并与特定用户关联起来。每次HTTP请求都通过该唯一ID来识别属于哪个用户的交互过程[^2]。 Token 则是一种自包含的字符串形式的身份验证凭证,通常采用 JSON Web Tokens (JWT) 格式编码而成。它包含了关于用户的信息以及签名部分以确保其真实性。客户端可以在本地(如浏览器中的 `localStorage` 或者作为 HTTP 请求头的一部分)保存此令牌,并随后续请求一起提交给 API 接口进行权限校验[^3]。 #### 存储位置 Cookies 被存放在客户端机器上的浏览器环境中;Sessions 数据则主要位于服务器一侧;而Tokens既可以被放置在前端应用内部也可以嵌入到API调用里去。 #### 使用场景 对于传统的Web应用程序来说,如果前后端部署在同一台物理机或者同一个域名之下,则可以考虑使用 Sessions 来管理登录态其他临时性的个人信息。然而随着现代互联网架构的发展趋势向微服务体系迈进,分布式部署变得越来越普遍,此时利用无状态特性的 Tokens 就显得尤为重要了——它们不仅能够跨越多个子域甚至完全独立的服务之间传递认证信息,而且减少了对共享内存资源的需求从而提高了系统的可伸缩性性能表现。 #### 安全特性对比 由于 Sessions 需要依赖于服务器端维护的状态信息,因此容易受到诸如 CSRF 攻击的影响。相比之下,基于 Token 的身份验证方案更加灵活且具备更强的安全保障措施,比如可以通过设置较短的有效期来降低泄露风险,同时支持刷新机制以便长期保持有效连接而不必频繁重新输入密码等敏感资料。 ```python import jwt def create_token(user_id, secret_key): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # Python3 中返回的是bytes类型数据,需解码成str ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值