Cookie、session和token的区别(token和session对比选型)

最新推荐文章于 2025-10-15 15:45:33 发布
原创 最新推荐文章于 2025-10-15 15:45:33 发布 · 1.8w 阅读 · 186 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#session #token

本文详细探讨了session、cookie和token在会话管理中的应用及发展历程。比较了三者的优缺点,介绍了它们的工作原理,特别是在分布式系统和前后端分离架构中的表现。重点分析了token机制在安全性、跨域访问和用户体验方面的优势。

文章目录

session, cookie, token 的应用以及发展历程

session,cookie,token到底有什么区别和联系
参考URL: https://zhuanlan.zhihu.com/p/92949110

由于http是无状态的会话,所以我们需要一个东西来记录。目前我们用到的主要有三种:session,cookie 和 token。

  1. session:

    在服务器端记录,每一个会话会产生一个sessionId。当用户打开某个web应用时,便与web服务器产生一次session。服务器使用 sessionId 把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这样服务器就会根据每个人sessionId的不同,区别开谁是谁了,从而返回给用户不同的请求结果。

    缺点:

    如果使用单个服务器的话,用户过多的话,会造成服务器开销太大。如果我们系统采用分布式的话,我们登录时,响应我们的那台机器会记录我们登录信息,万一下一个请求,响应我们的不是原来那台机器的话,它并没有存储我们之前会话信息,就会认为我们并没有登录。session粘连或者session复制都不是特别好的方案。

    那既然服务端存储这些 SessionId 这么麻烦,人类又想出一招,那就是把这些SessionId 都存储在客户端。这个时候,cookie运用而生

  2. cookie
    cookie是服务端保存在客户端的临时的少量的数据。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。

    但是,cookie 这种方式很容易被恶意攻击者入侵,那么又怎么验证客户端发给我的session id 的确是我生成的呢? 如果不去验证,服务器都不知道他们是不是合法登录的用户, 那些不怀好意的家伙们就可以伪造session id , 为所欲为了。

    这就需要我们用一种加密的方法或者可以说暗号,来验证这个id是否由我自己的服务器之前生成而非恶意攻击者篡改的。

  3. token
    token的定义:Token是服务端生成的一串字符串,当作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

session的原理

(1)服务器在处理客户端请求过程中会创建session,并且为该session生存唯一的session ID。(这个session ID在随后的请求中会被用来重新获得已经创建的session。在session被创建后,就可以调用session相关的方法向session中新增内容,这些内容只会保存在服务器中)

(2)服务器将session ID发送到客户端

(3)当客户端再次请求时,就会带上这个session ID

(4)服务器接收到请求之后就会一句Session ID 找到相应的Session ,完成请求

ps
1、虽然session保存在服务器,但它还是需要客户端浏览器的支持,因为session需要使用cookie作为识别标志。服务器会向客户端发送一个名为JSEDDIONID的cookie,它的值为session ID。
2、当cookie被禁用时,可以使用url重写的方法:将session写在URL中,服务器在进行解析。

cookie的生命周期

cookoe的生存时间是整个会话期间:浏览器会将cookie保存在内存中,浏览器关闭时自动删除这个cookie。

cookie的生存时间是长久有效的:手动将cookie报存在客户端的硬盘中,浏览器关闭的话,cookie页不会清除;下次在打开浏览器访问对应网站内容,这个cookie就会自动再次发送到服务器。

token认证流程

token 的认证流程与cookie很相似

用户登录,成功后服务器返回Token给客户端。
客户端收到数据后保存在客户端
客户端再次访问服务器,将token放入headers中
服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

token和session对比选型

Token是什么?和session、cookie相比,使用场景有什么区别?
参考URL: https://www.detechn.com/post/383.html

传统的应用是将Session放在应用服务器上,而将生成的JSESSIONID放在用户浏览器的Cookie中,而这种模式在前后端分离中就会出现以下问题

1,开发繁琐。
2,安全性和客户体验差
3,有些前端技术不支持Cookie,如微信小程序

这种情况下,前后端之间使用Token(令牌)进行通信就完美的解决上面的问题。

与session验证项目token的优点:

  1. 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输。
  2. 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.
  3. 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可。
  4. 适用接口跨平台: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
  5. CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
  6. 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft)

总结: token的验证机制比session的验证机制更加灵活方便。 现在一般新项目使用token的比较多!

参考

SpringSecurity实现用户名密码登录(Token)
参考URL: https://www.cnblogs.com/fanqisoft/p/10665144.html

3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于SessionToken、JWT怎么选?
天罡gg的专栏
03-29 5375
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Cookietoken区别
m0_45309753的博客
03-25 4148
文章目录前言一、基于cookie的身份验证二、基于token的身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全正常运行都
了解HTTP中的CookieToken
Allen Roson
10-15 698
摘要: CookieToken是两种常见的用户身份验证机制。Cookie由服务器写入浏览器,用于保持会话状态(如session_id),在后续请求中自动携带,适用于传统网站。Token(如JWT)由服务器签发,客户端手动存储并通过请求头发送,无需服务器保存状态,适合移动端API调用。JWT包含加密签名,可自验证,但需注意安全设置(如HTTPS、有效期)。对比来看,Cookie易受CSRF攻击且依赖服务器Session,而Token无状态、跨域友好但无法主动失效。Token更符合现代分布式系统的需求。
Cookie-SessionToken认证方式
alivinFer的个人博客
08-28 862
本篇文章主要介绍了cookiesessiontoken的基本概念,以及两种不同的认证方式
SessionToken区别
热门推荐
love_onefly的博客
06-19 2万+
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将sessionid...
TokenCookieSession区别--学习笔记
CharliChen 's Blog
09-09 2万+
传统身份验证HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie
Session Token 区别
旷野历程
02-23 1169
众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。它的基本工作流程是,当用户第一次请求Web服务器时,服务器会生成一个唯一的Session,并将其存储在服务器端(通常可以持久化到数据库中)。然后,服务器通过响应头的方式将该Session的标识符(SessionID)返回给浏览器,并存储在浏览器的Cookie中。
清晰讲解CookieSessionToken、JWT之间的区别
记录分享编程与冲浪知识
01-11 1495
详细介绍Cookie, Session, Token, JWT的知识应用
vue+koa2实现sessiontoken登陆状态验证的示例
10-16
本文将介绍如何使用Vue前端框架Koa2后端框架相结合来实现SessionToken两种用户认证方式,并对这两种方式的差异使用场景进行比较。 首先,我们来看Session登录方式。在Session登录模型中,服务器负责创建一个...
Web开发基于SessionToken的状态管理技术解析:原理、实现及分布式环境下高可用会话存储方案设计
最新发布
11-13
文章还对比了传统Session与无状态Token(如JWT)的适用场景,展示了Java Web中Servlet原生SessionSpring Session集成Redis的实现代码,并系统介绍了功能、Cookie行为、并发、集群共享、超时及安全性测试方法。...
SessionCookieToken的主要区别
Guizy
06-19 1852
SessionCookieToken的主要区别 HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份, 也就是说无法知道上一次请求的对象是谁, 此时就要使用到会话跟踪技术 什么是cookie cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
Session,Token相关区别
weixin_30677617的博客
10-29 669
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。 2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将session...
SessionCookie
一点思考
12-31 513
转载自: https://blog.youkuaiyun.com/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
彻底理解cookiesessiontoken
weixin_30535043的博客
07-09 896
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话...
sessioncookietoken区别
weixin_42672802的博客
08-26 2726
Cookiesessiontoken区别
token cookie session区别
韩金群的博客
04-28 7009
token cookie session区别 大家好,我是酷酷的韩~ 一.Cookie简介 cookie是一个非常具体的东西,指的是浏览器里能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cokkie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器,由于cookie是存储在客户端的,所以浏览器加...
CookieToken区别
小男孩tom的博客
11-23 1万+
两者的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样: Cookie 验证是服务器在用户登录时生成 用户唯一标识 即 Sessionid 并以映射表的形式保存在该台服务器的内存上(一般做法,也可以保存在其他地方),接着将该 Sessionid 通过 set-cookie 头部传给客户端浏览器保存到 cookie,下次 同源请求 浏览器会自动带上 Sessionid 给服务器,服务器再去查对应的用户 id。 Token 验证是服务器在用户登录时使用 密钥 对用户信息进
sessiontoken改造
04-03
### 改造方案概述 将系统从传统的 `Session` 验证方式迁移到基于 `Token` 的验证方式是一项复杂的工程任务,涉及多个方面的调整优化。以下是关于迁移过程中需要注意的关键点以及具体的实施策略。 --- #### 1. **理解两种认证机制的核心差异** - 基于 `Session` 的认证依赖于服务器存储的状态信息(如内存或 Redis 缓存中的 Session ID)。客户端通过 Cookie 或其他形式传递 Session ID 到服务器进行身份校验[^4]。 - 而基于 `Token` 的认证则是无状态的,所有的用户信息都封装在 Token 中并通过签名保护其真实性。每次 API 请求都需要携带该 Token 进行验证[^3]。 --- #### 2. **技术选型与架构设计** ##### (a) **选择合适的 Token 类型** - 推荐使用 JSON Web Tokens (JWT),因为它是一种标准化的、自包含的 Token 格式,能够减少对服务器端存储的需求。 ##### (b) **定义 Token 生命周期管理** - 使用双 Token 模型:即 Access Token Refresh Token。Access Token 用于短期访问权限控制,Refresh Token 用于获取新的 Access Token[^1]。 - 设置合理的过期时间,例如 Access Token 可设置为几分钟有效,而 Refresh Token 设定更长时间的有效期限并定期轮换。 --- #### 3. **具体改造步骤** ##### (a) **修改登录接口逻辑** - 用户成功登录后不再返回 Session ID,而是生成一对 Access Token Refresh Token 并将其发送给前端。 ```python import jwt from datetime import timedelta, datetime SECRET_KEY = 'your_secret_key' def generate_tokens(user_id): access_token_payload = { 'sub': user_id, 'exp': datetime.utcnow() + timedelta(minutes=15), 'type': 'access', } refresh_token_payload = { 'sub': user_id, 'exp': datetime.utcnow() + timedelta(days=7), 'type': 'refresh', } access_token = jwt.encode(access_token_payload, SECRET_KEY, algorithm='HS256') refresh_token = jwt.encode(refresh_token_payload, SECRET_KEY, algorithm='HS256') return {'access_token': access_token, 'refresh_token': refresh_token} ``` ##### (b) **更新 API 请求头处理** - 客户端需在 HTTP Header 中添加 Authorization 字段来传输 Bearer Token。 ```bash curl --location --request GET 'https://example.com/api/resource' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' ``` ##### (c) **服务端 Token 解析与验证** - 在每个受保护的 API 上增加中间件或拦截器解析传入的 Token,并解码其中的内容以确认用户的身份。 ```python def verify_jwt(token): try: payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) if payload['type'] != 'access': raise ValueError('Invalid token type.') return payload['sub'] except Exception as e: return None ``` ##### (d) **废弃旧有 Session 存储结构** - 如果当前系统已经引入了 Redis 来缓存 Session 数据,则可以逐步清理这些数据。对于新注册用户仅创建对应的 Refresh Token 映射关系即可。 --- #### 4. **安全性增强措施** 为了保障系统的安全性稳定性,在切换到 Token 认证模式下还需要注意以下几点: - 对敏感操作强制要求重新输入密码或其他二次验证手段; - 实施严格的 CORS 策略防止跨域攻击; - 启用 HTTPS 加密通信链路避免明文泄露风险; - 定期审计日志文件查找异常行为迹象。 --- ### 总结 完成上述改动之后,整个应用程序便可以从原有的 Session 驱动转变为现代化的 Token-Oriented 架构体系之下运作良好。这种转变不仅有助于提升性能表现同时也增强了可维护性水平。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西京刀客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值