详解Cookie、Session与Token

最新推荐文章于 2025-05-09 07:24:58 发布
最新推荐文章于 2025-05-09 07:24:58 发布
阅读量1.6k 收藏 11
点赞数 3
CC 4.0 BY-SA版权
文章标签: java 后端 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lranqi/article/details/124233065
本文详细介绍了Cookie、Session和Token三种常见的Web身份验证机制。Cookie作为客户端存储用户信息的方式,其工作流程包括设置、发送和接收。Session则是服务器端保存用户会话状态的手段,依赖于Cookie传递Session ID。Token作为无状态的身份验证令牌,适用于跨域场景,常见于JWT(Json Web Token)形式,具备安全性和灵活性。总结了它们之间的区别,如存储位置、安全性、存储大小和生存周期。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

目录

Cookie

什么是Cookie?

Cookie工作流程

Cookie的常见属性

有效期max-age(expires)

域名domain

路径path

应用

Session

Cookie和Session的区别

Token

什么是Token?

Token的工作流程

Token的组成

JWT组成

Token的特点

Cookie

什么是Cookie?

        由于服务器根据网络连接无法识别用户。那么就需要为用户分发一个通行证类似的东西,访问时用户需携带自己通行证,这样就可以识别用户的身份了。Cookie的工作原理也是如此。

        Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,是客户端用保存用户信息的一种机制,也是实现Session的一种方式。

Cookie 存储在客户端,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

Cookie工作流程

当用户第一次访问并登录一个网站的时候,Cookie的设置以及发送会经历以下4个步骤:

  1. 客户端发送一个请求到服务器;
  2. 服务器发送一个HttpResponse响应到客户端,其中包含Set-Cookie的头部;
  3. 客户端保存cookie,之后向服务器发送请求时,HttpRequest请求中会包含一个Cookie的头部;
  4. 服务器返回响应数据。

PS:Request Headers中Cookie值中的name和value是基于Response Headers中包含Set-Cookie头部设置的。

Cookie的常见属性

有效期max-age(expires)

PS:HTTP 1.1中定义了max-age表示cookie有效期,优先级高于expires字段。

Cookie中的max-age用来表示该属性,单位为秒。

  • max-age为正数,Cookie 在 max-age 秒后失效。浏览器会将maxAge为正数的Cookie写到对应的Cookie存储文件中(存储的位置看浏览器怎么设置)。
  • max-age为负数,则表示该Cookie为临时Cookie,不会被持久化,仅在本浏览器窗口或者本窗口打开的子窗口中有效,关闭浏览器后该Cookie立即失效。
  • max-age为0,表示删除该Cookie。
  • 默认为-1。

域名domain

        用于指定 cookie 所属域名,默认是当前域名。

        Cookie是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的Cookie。

路径path

        path属性决定允许访问Cookie的路径。默认是 '/'(表示允许所有路径都可以使用Cookie)。

应用

  • 判定注册用户是否已经登录网站,以及保留用户信息。
  • “购物车”(加购的商品的信息存储在Cookies用于最终结算)。

Session

        Session是记录服务器和客户端会话状态的机制。

        服务器会为每个用户的浏览器创建一个用户独享的Session(会话)对象。Session对象用于保存一些用户信息。然后将Dession的ID以Cookie的形式返回给客户端(也可以用其它方式实现,比如放url里,Cookie更为合适、方便)。

        当用户访问服务器中的Web资源时,服务端会根据Cookie里存储的Session的ID,从内存中找到与之对应的Session。根据Session为用户服务。

PS:默认情况下一个浏览器独享一个Session对象。

Cookie和Session的区别

  • 存储方式:Cookie 数据存放在客户端浏览器上;Session 数据存放在服务器上(只返回Session的ID值给客户端)。
  • 安全性:Cookie本地存储,可以根据存放在本地的Cookie进行欺骗,不安全。
  • 存储大小:很多浏览器会限制单个cookie的大小,一般不能超过4K,一个站点最多保存20个cookie;Session没有类似的限制。
  • 生存周期: Cookie 可设置为长时间保持;Session失效时间较短,一般客户端关闭Session就会失效。

Token

什么是Token?

        token也是验证用户身份的凭证。是“令牌”的意思。其本质就是服务端生成的一串字符串。

        在用户第一次登录时,服务器根据业务鉴权成功后生成一串字符串,并返回给客户端,这个字符串即为token。之后客户端每次请求时只需带上这个token即可让服务端辨别用户身份。

Token的工作流程

  1. 用户通过用户名和密码发送登录请求
  2. 服务端鉴权
  3. 返回一个token给客户端
  4. 客户端存储token,并且在每次发送请求时携带token
  5. 服务端验证token,并返回数据

Token的组成

        最简单的token组成: 用户唯一的身份标识、当前时间的时间戳、签名(以哈希算法压缩成一定长的十六进制字符串)。

        JWT(Json web token)是标准化的token,即一种token组成规范。

JWT组成

JWT分为三部分:

  • header:jwt的头部,包含两部分信息:
    • 声明类型("typ":"JWT",表示这是jwt)
    • 声明加密的算法("alg":"HS",通常直接使用 HMAC SHA256)
  • playload:jwt的载荷,存放有效信息。主要包含三个部分:(不放敏感信息)
    • 标准中注册的声明
    • 公共的声明
    • 私有的声明
  • signature:签名信息。

Token的特点

  1. 支持跨域访问。
  2. 无状态(Token是无状态,session有状态)。
  3. 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可。
  4. 更适用于移动应用。
  5. 正常情况下token要比 session_id 更长,需要消耗更多流量,挤占更多带宽。此外,由于Cookie大小有限制,如果token比较大则需要存储在LocalStorage、SessionStorage中。
  6. 无法在服务端注销,那么久很难解决劫持问题。
CookieSessionToken解析
深夜无眠的博客
06-05 1181
简而言之,Cookie就是是一些数据,类型为“小型文本文件”,会以key-value的形式存储于电脑上的文本文件中。主要用于存储服务器返回给客服端的信息,然后在客户端中进行保存。在下一次访问该网站时,客户端会将保存的Cookie一同发给服务器,服务器再利用Cookie进行一些操作,比如使用Cookie记录用户的登录状态信息。
node会话管理详解cookiesessiontoken
2301_76669854的博客
06-02 1000
在Node.js中,cookiesessiontoken都是用于会话管理的机制,但它们各自有不同的使用场景和特性。
CookieSessionToken
m0_61983575的博客
04-27 619
什么是 CookieHTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。Cookie 主要用于以下三个方面:会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)
cookiesession、tooken
伟庭的博客
07-01 3165
cookiesession、tooken
有了这份 Cookie 详解大全,难题迎刃而解!
最新发布
newlearner的博客
05-09 543
服务器可以根据接收到的 Cookie 信息来识别用户,并执行相应的操作,如显示个性化的内容或提供特定的服务。可以通过 document.cookie 返回当前网页的 Cookie,也可以进行新 Cookie 的创建,但是 document.cookie 无法创建和访问具有 HttpOnly标记的 Cookie。前后端分离,一般是不会用cookie的,基本上都是提交用户凭证,后端返回一个token前端每次请求,都应当将这个token的请求头发送给后台,让后台确认是哪个用户在操作。
前端鉴权:cookiesessiontoken 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 2741
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
接口基础知识12:cookiesessiontoken
土小帽_Tester的博客
08-25 1033
CookieSessionToken是Web应用中常用的身份验证和会话管理机制,各有特点,适用于不同的应用场景。
cookiesessiontoken详解
qq_54850598的博客
11-03 3637
目前网络上进行用户验证的方法主要有三种:cookie,session,token,他们之间存在相似也有各自的优缺点,本文将着重强调。cookie是浏览器存储在本地的文件,主要用于存储服务器对用户进行的标记,大小有限一般只为4kb,用户在第一次进行服务器请求时,服务器会生成对应的id,然后发送给客户端,客户端就会存储在本地文件中。
CookieSessionToken三者的区别及使用
11-13
#### 五、TokenSession的区别 - **存储位置**: - Token: 存储在客户端(如Cookie或LocalStorage)。 - Session: 存储在服务器端。 - **安全性**: - Token: 更加安全,因为它可以通过加密算法保护,而且是无状态...
Cookie,Session,Token详解.pdf
07-30
根据提供的文件信息,以下是对文件《Cookie,Session,Token详解.pdf》中知识点的详细解读: 1. Cookie的相关知识 1.1 Cookie不是缓存。它是由服务器创建并存储在客户端的一小段文本信息,通常以字典(键值对)的...
深入解析CookieSession以及Token原理
码星人
04-05 1333
深入解析Cookie, SessionToken机制
cookiesessiontoken详解
redsun_hl的专栏
08-24 1408
访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证。简单来说就是不要登录。
一文彻底弄懂CookieSessionToken
初念初恋的博客
07-09 1469
Cookie翻译成中文的意思是‘小甜饼’,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
CookieSessionToken概念、区别、如何实现
diaobusi的博客
08-02 2549
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
cookiesessiontoken 区别
枫飘长安的博客
03-24 1505
cookiesessiontoken区别
Cookie详解
FullStackDeveloper0的博客
06-13 637
一、Cookie机制 基本流程 Cookie技术是客户端的解决方案,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。 详解 当用户使用浏览器访问一个支持Cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器;接着,服务器在向客户端回传相应的超文本的同时也会发回这些个人信息...
Cookie的生命周期问题
大大大钢琴
03-05 2862
Cookie会在客户端存活多久呢?这就是Cookie的生命了。默认情况下,Cookie只在浏览器的内存中存活,也就是说,当你关闭浏览器后,Cookie就会消失! 可以使用Cookie#setMaxAge(int expiry)来设置Cookie的存活时间。参数expiry表示Cookie存活的秒数。 cookie.setMaxAge(60*60):表示cookie对象可存活1小时。就算关闭浏览...
JAVACookie MaxAge属性及其使用
念念不忘,必有回响。
11-02 2300
API文档中对MaxAge的描述: public void setMaxAge(int expiry) Sets the maximum age of the cookie in seconds. A positive valueindicates that the cookie will expire after that many seconds have passed. Note that the value is the maximum age when the cookie will ex.
cookiesessionStorage和localStorage的区别和使用
dwd112358的专栏
10-16 501
cookiesessionStorage和localStorage对比cookiesessionStoragelocalStorage引用 对比 - cookie sessionStorage localStorage 生命周期 不设置时长,持续到浏览器关闭,设置时长,时长范围内有效 浏览器关闭 一直存在,直到删除或清除缓存 大小 4KB 5MB 5MB 范围 所有同源窗口 建立时的浏览器窗口 所有同源窗口 服务器通信 http头中,每次请求都会传送到服务器 仅在客户端 仅在
cookiesessiontoken详解
06-28
### 回答1: CookieSessionToken是三种常见的Web应用程序认证和授权机制。 Cookie是客户端存储认证和授权信息的一种机制,用于在浏览器和服务器之间进行状态管理。当用户首次登录时,服务器会在响应中设置一个包含认证和授权信息的Cookie,然后浏览器会将这个Cookie存储起来,并在下一次请求时将其一起发送给服务器,以便服务器能够识别用户。 Session是在服务器端存储认证和授权信息的一种机制,用于跟踪用户在Web应用程序中的活动。当用户首次访问Web应用程序时,服务器会为其创建一个Session,然后在后续请求中使用这个Session来管理用户状态。Session通常通过Cookie在浏览器和服务器之间交互。 Token是一种轻量级的认证和授权机制,用于在不使用CookieSession的情况下在浏览器和服务器之间进行状态管理。当用户登录成功时,服务器会生成一个Token,并将其发送给浏览器;浏览器在后续请求中将该Token带上,以便服务器能够识别用户并进行授权。Token通常使用JWT(JSON Web Token)格式进行编码和传输。 ### 回答2: cookiesessiontoken是Web开发中常用的三种身份验证状态管理的技术,它们具有各自的特点和优缺点。 cookie是一种浏览器保存在用户计算机中的小文件,可以储存一些用户信息和网站状态。它的主要作用是让网站在用户多次访问时可以识别用户,实现用户身份验证和存储一些数据。有的站点还会使用cookie来追踪用户行为,以便提供更好的个性化服务。但是,cookie只能保存较小的数据量,并且存在一些安全风险,比如cookie可被拦截和篡改带来的安全问题。 session是在服务器端保存的用户信息,它使用一个服务器端生成的唯一标识符(SessionID)来标识用户,以便让服务器知道它们是同一个用户。一般情况下,SessionID是保存在cookie中的。用户在访问网站时,服务器会自动创建一个该用户对应的session,将SessionID写入cookie,并将用户的状态信息存储在服务器的内存或磁盘上,以便后续使用。相比于cookiesession不能被篡改,避免了安全问题。但是,session存储在服务器端,会增加服务器的负担,而且如果用户访问量很大,服务器存储session数据可能会消耗很多内存和磁盘空间。 token是一种基于JSON Web Token(JWT)或其他加密算法的令牌机制,可以用于在客户端和服务器之间进行身份验证和状态管理。它的工作方式cookiesession不同,它不需要在服务器端存储用户信息,客户端只需要将token每个请求一起发送给服务器即可。通过加密算法可以确保token具有不可伪造和可信任的安全性。token相比于cookiesession有以下优点:1)减轻服务器负担,不需要在服务器端存储状态信息;2)支持跨域访问;3)可以灵活调整token的过期时间和访问权限。但是,token也存在一些安全问题,比如token可以被窃取和泄露,因此需要加强安全措施,比如使用HTTPS等安全通讯协议。 综上所述,cookiesessiontoken各自具有不同的优缺点和应用场景,开发人员需要根据实际情况选择合适的技术来实现身份验证和状态管理。 ### 回答3: 1. Cookie Cookie(HTTP Cookie)是由Web服务器发送到用户浏览器,存储在用户本地计算机上的小文件。当浏览器再次加载该站点时,它会将Cookie发送回服务器。主要用于记录Web站点用户的活动、登录状态、购物车、喜好设置等。 Cookie的特点: - 存储在用户本地计算机上,大小约为4KB; - 可以由Web服务器设置失效时间; - 每个Cookie只能存储一种信息,因此需要多个Cookie来存储不同的信息。 2. Session Session(会话)是一种在Web服务器上存储状态的机制。当用户访问Web站点时,Web服务器为该用户创建一个Session对象。该对象由唯一的Session ID(会话ID)和相关的信息组成,如用户ID、存储在服务器上的数据等。 Session的特点: - 存储在Web服务器上,可存储大量数据; - 可以设置失效时间; - 每个用户只有一个Session对象,可以存储多种信息。 3. Token Token(令牌)是在用户登录后由Web服务器生成的一段随机字符串。服务器将令牌发送给客户端(如浏览器),客户端每次请求操作时需要携带这个令牌。服务器会验证令牌的有效性并返回对应的结果。常用于身份验证和访问控制。 Token的特点: - 存储在客户端,大小不固定; - 没有失效时间,只有服务器失效(如修改密码)时才会失效; - 可以根据需要设置不同权限的Token,实现不同级别的访问控制。 总体来说,CookieSessionToken都是记录Web站点用户状态的机制。CookieSession存储在服务器和客户端之间,主要用于记录用户的活动和状态;而Token则存储在客户端,用于身份验证和访问控制。不同的机制有不同的特点和应用场景,需要根据实际情况选用合适的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SS上善

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值