Cookie Session Token 的区别和用法

最新推荐文章于 2025-11-06 09:00:00 发布
原创 最新推荐文章于 2025-11-06 09:00:00 发布 · 2.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Cookie:
特性:
1.客户端会话技术(数据存储在客户端),
2.以key-value的形式进行存储,
3.cookie的操作都是通过Response来实现的
4.典型场景:购物车、登录信息
5.支持过期信息
6.清除策略:默认关闭浏览器是cookie自动清除或
配置Cookie过期时间:
max-age=0 关闭就失效
max-age=None 永久有效
max-age = int 单位秒
expires 过期时间,和max-age功能基本一致


@勒令客户端(通过cookie)自己将状态保存起来,过期时间为60秒:
resp=HttpResponse()
resp.set_cookie('uname',uname,max_age=60*1)
@获取保存在客户端的用户状态:
uname=request.COOKIES.get('uname',None)
@删除保护在客户端的用户状态:
resp.delect_cookie('uname')





Session:
特性:
1.服务端会话技术
2.session依赖于cookie:将session数据库中的session_key当做session_id,存储在cookie中
3.session数据存储子数据库中,并做了基本安全处理(base64)

@让服务端通过session保存用户状态:
request.session['uname']=uname
request.session['upwd']=upwd
@从服务端获取用户状态:
uname=request.session.get('uname',None)
@删除服务端session:
del request.session['uname']
request.session.flush()




Token:
特性:
1.服务端会话技术
2.相当于手动实现的session
3.依赖于cookie
4.值应该是唯一的:要通过特定算法保证唯一/时间/ip/域名/网卡mac/随机数

@将用户状态存储在token中,让客户端持有一个token,并将token保存在某个表中
user = User.objects.filter(uname=uname).first()
resp=HttpResponse()
		
token=uuid.uuid4()
resp.set_cookie('token',token)
user.token=token
user.save()
@从token中获取用户状态: 
utoken = request.COOKIES.get('token',None)
@勒令客户端删除自己cookie中的token
resp.delect_cookie('token')















CookieSessionToken区别
weixin_51797324的博客
09-04 1023
它们常被一起讨论,但不是一个维度的概念。CookieSession实现的一种方式(传递Session ID的载体)。Session的核心是服务器端存储。:这是两种不同的会话管理思路。Session是“有状态”的,服务器记得谁是谁。Token是“无状态”的,服务器不记得谁是谁,每次请求时客户端出示“令牌”(Token)自证身份。现代开发常用组合传统Web应用CookieSession前后端分离/APP/微服务Token(存储在客户端的或Cookie中,但通过传输)
Cookie Session Token 鉴权的区别原理
m0_65431718的博客
07-07 1308
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
cookiesessiontoken区别
Ladyiang的博客
08-16 427
cookiesessiontoken区别
cookiesessiontoken区别
最新发布
m0_71804489的博客
11-06 1812
本质:服务器发送给客户端(浏览器)的小型文本数据(通常 4KB 以内),存储在客户端本地。工作流程用户首次访问服务器时,服务器生成 Cookie 并通过响应头(Set-Cookie)发送给浏览器;浏览器将 Cookie 保存到本地(如硬盘或内存);后续用户访问该服务器时,浏览器会自动将 Cookie 放入请求头(Cookie)中发送给服务器,供服务器识别用户。特点可设置过期时间(expires或max-age):过期后自动删除,否则默认关闭浏览器后失效;有域名路径限制(domain。
cookie, session, token区别
biubiubiubibibi的博客
06-23 404
cookie, session, token区别, 计算机网络
CookieSessionToken之间的区别是什么?
weixin_43287459的博客
01-15 1256
概念Cookie是由服务器生成并存储在客户端(通常是浏览器)的一小段数据,以键值对的形式进行存储,它是无状态协议(HTTP)的补充机制,用来在客户端服务器之间维持状态。每次发送的HTTP请求都会自动携带该域名下存储的Cookie到服务器,以便让服务器能够识别客户端的状态。注意并非所有的请求都会携带相同的Cookie,而是每个域名会存储对应的Cookie,因此Cookie符合同源策略,不允许跨域请求。同源策略。
【前端知识】Cookie, Session,TokenJWT的发展及区别(一)
xiaobaizaza_Ry的博客
05-01 2113
最通俗的关于Cookie, SessionTokenJWT的相关笔记理解。在上章笔记中主要介绍一下背景Cookie。包括Cookie的定义,特点,重要属性,优缺点,作用使用场景,以及如何解决禁用问题,以及Cookie在客户端服务端的相关操作。 上章:主要介绍背景Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWTToken区别,以及总结CookieToken区别与发展。
session,cookie,token区别
程序员路同学
12-03 235
session,cookie,token区别 seesion: 当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie: cookie是保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把co
sessioncookietoken区别
热门推荐
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
WEB常识 五 什么是 Session
W_H_M_2018的博客
09-22 794
什么是 Session session 是另一种记录服务器客户端会话状态的机制 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookiesession 认证流程: 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie
sessioncookietoken区别
weixin_42672802的博客
08-26 2771
Cookiesessiontoken区别
cookie session token区别
WangYouJin321的博客
05-23 669
什么是 Cookie HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。 Cookie 主要用于以下三个方面: ...
cookie,session,token区别(简单易懂)
weixin_43714543的博客
03-28 1365
cookie,session,token区别(简单易懂) cookie 浏览器与服务器进行会话时,产生一种本地存储技术 session Session其实是利用Cookie进行信息处理的,当用户首先进行了请求后,服务端就在用户浏览器上创建了一个Cookie,当这个Session结束时,其实就是意味着这个Cookie就过期了。 cookiesession的共同之处在于: cookiesession都是用来跟踪浏览器用户身份的会话方式。 cookie session区别是: cookie数据
cookiesessiontoken 区别
枫飘长安的博客
03-24 1615
cookiesessiontoken区别
cookie session token区别(简单原理理解)
Edward_Mcc的博客
01-12 2414
HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。简单来说,比如我登录淘宝网,点击我的购物车,会发起一个网络请求,因为http协议是无状态的,淘宝网并不知道是我发起的请求,会在需要输入用户密码,这显然不合理,cookiesession可以理解为在每次请求时保存我个人的信息。 Cookie HTTP 协议中的 Cookie 包括 Web Cookie
cookiesession、tooken
伟庭的博客
07-01 3245
cookiesession、tooken
Cookie,Session,Token三者区别
托马斯的博客
06-22 736
一、简介 1. Cookie机制 cookie机制是采用在客户端保持状态的方案.cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。 cookie的内容主要包括:名字、值、过期时间、路径域。路径与域一起构成cookie的作用范围。 若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie
tokensession-cookie什么区别
05-07
<think>好的,用户现在想了解tokensession-cookie之间的区别,以及它们的用法比较。我需要先回顾之前的对话,确保回答的一致性相关性。 用户之前问过token是什么,我详细解释了token的定义、用途,包括身份验证、授权、跨域资源共享API访问控制,还提供了JWT的代码示例。现在用户进一步想了解tokensession-cookie区别,需要对比这两者的工作机制、安全性、扩展性等方面。 首先,我需要明确session-cookietoken-based认证的基本原理。session-cookie是服务器存储会话信息,客户端通过cookie保存session ID,而token-based则是服务器生成token,客户端存储token,每次请求携带token进行验证。 接下来,对比两者的存储位置。session数据存储在服务器端,可能使用内存、数据库或缓存,而token的数据通常存储在客户端,如JWT包含用户信息。这点需要强调服务器负担扩展性的问题。 然后是安全性。session ID可能面临CSRF攻击,而token一般不需要cookie,可以避免CSRF,但需要注意XSS攻击的风险。同时,token如果使用JWT,需要保护密钥,防止被篡改。 跨域支持方面,session-cookie受同源策略限制,而token可以灵活地在不同域之间传递,适合现代前后端分离的应用架构。 扩展性方面,session需要服务器存储,对于分布式系统可能需要共享session存储,而token无状态,更适合水平扩展。 另外,用户可能关心的实际应用场景,比如移动应用或RESTful API通常用token,而传统Web应用可能用session-cookie。需要举例说明两者的适用情况。 还需要检查之前的引用文献,确保引用的一致性。之前的回答引用了[^1][^3][^4][^5],可能需要调整引用位置,确保准确。 可能用户需要具体的例子或代码比较,比如session-cookie的实现token的实现对比,或者如何选择适合的方案。 最后,生成的相关问题需要与主题紧密相关,比如如何防止token被盗,分布式系统中的认证方案选择,或者迁移sessiontoken的注意事项。确保问题能引导用户深入思考或进一步学习。</think>### TokenSession-Cookie区别用法比较 在用户身份验证会话管理领域,**Token** **Session-Cookie** 是两种主流方案,它们在存储方式、安全性、扩展性等方面有显著差异。以下是具体分析: --- #### 1. **核心机制对比** | **特性** | **Session-Cookie** | **Token** | |------------------------|-------------------------------------------------|------------------------------------------------| | **存储位置** | 服务器端存储会话数据,客户端仅存储 Session ID(通过 Cookie) | Token 存储在客户端(如浏览器 LocalStorage、HTTP 头) | | **状态性** | 有状态(服务器需维护会话状态) | 无状态(服务器不存储会话信息) | | **通信方式** | 依赖 Cookie 自动附加到请求头 | 需手动将 Token 添加到请求头(如 `Authorization: Bearer <token>`) | | **跨域支持** | 受同源策略限制(需配置 CORS) | 天然支持跨域(通过自定义 HTTP 头传递) | --- #### 2. **安全性对比** ##### (1)**Session-Cookie 的风险** - **CSRF(跨站请求伪造)**:攻击者可诱导用户点击恶意链接,利用浏览器自动携带 Cookie 的特性发起非法请求[^3]。 - **XSS(跨站脚本攻击)**:若 Cookie 未设置 `HttpOnly` 属性,攻击者可通过注入脚本窃取 Session ID[^1]。 - **防御措施**:需配合 CSRF Token、设置 `SameSite` 属性(如 `SameSite=Strict`)等增强安全性。 ##### (2)**Token 的风险** - **XSS 攻击**:若 Token 存储在 LocalStorage 中,可能被恶意脚本窃取[^5]。 - **Token 泄露**:需使用 HTTPS 加密传输,防止中间人攻击。 - **防御措施**:短期 Token 有效期、JWT 签名验证(如 HS256 或 RS256)、黑名单机制等。 --- #### 3. **性能与扩展性对比** | **场景** | **Session-Cookie** | **Token** | |------------------------|-------------------------------------------------|------------------------------------------------| | **服务器资源占用** | 需在服务器端存储会话数据,可能占用内存或数据库资源 | 无服务器端存储,减轻负载 | | **分布式系统支持** | 需共享 Session 存储(如 Redis 集群) | 天然支持分布式(Token 自包含用户信息) | | **移动端/API 友好性** | 依赖 Cookie,对原生移动端支持较差 | 更适合移动端 RESTful API | --- #### 4. **典型应用场景** ##### (1)**Session-Cookie 适用场景** - **传统 Web 应用**:如电商网站、内容管理系统(CMS),需要服务器维护用户状态。 - **需要短期会话**:例如银行系统,要求会话严格受控并快速失效。 ##### (2)**Token 适用场景** - **前后端分离架构**:如 SPA(单页应用)、移动端 App,通过 Token 实现跨域认证[^4]。 - **微服务/分布式系统**:无需共享 Session 存储,降低系统耦合度。 - **第三方 API 授权**:如 OAuth2.0 中的 Access Token[^5]。 --- #### 5. **代码示例对比** ##### (1)Session-Cookie 实现(Node.js) ```javascript // 服务器生成 Session ID 并存储 const session = require('express-session'); app.use(session({ secret: 'your_secret_key', resave: false, saveUninitialized: true, cookie: { secure: true, httpOnly: true } })); // 登录后设置 Session app.post('/login', (req, res) => { req.session.userId = 123; // 服务器存储用户 ID res.send('Logged in'); }); ``` ##### (2)Token 实现(JWT) ```javascript const jwt = require('jsonwebtoken'); // 生成 Token const token = jwt.sign({ userId: 123 }, 'your_secret_key', { expiresIn: '1h' }); // 客户端请求时携带 Token fetch('/api/data', { headers: { 'Authorization': `Bearer ${token}` } }); ``` --- ### 总结:如何选择? - **需要高扩展性、跨域支持** → 选择 **Token**(如 JWT)。 - **需严格控制会话状态、防范 XSS** → 选择 **Session-Cookie**(配合安全配置)。 - **混合方案**:某些场景可结合两者(如使用 Session 管理短期操作,Token 用于长期授权)。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值