cookie，session和token的区别和应用场景

最新推荐文章于 2025-03-11 15:35:25 发布

原创最新推荐文章于 2025-03-11 15:35:25 发布 · 1.4k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#session #cookie

java 专栏收录该内容

1 篇文章

订阅专栏

本文介绍了三种常用的身份验证机制：Cookie、Session 和 Token 的基本概念及特点。Cookie 存储于客户端，适用于少量安全数据；Session 存储在服务器端，通过 sessionId 进行跟踪；Token 则是一种无状态验证机制。

1.cookie

coolie存储在客户端，容量下，不安全，可以用来存储少量和安全无关的数据。

cookie存在跨域域名共享cookie问题、pc与app的cookie管理问题。

2.session

session将数据存储在服务器端，返回sessionId给客户端，下次访问时，根据该sessionId在服务器中获取session对象。

session走的是http层，session对象又request.getSession()产生，又org.apache.catalina.Manager类处理。

session存在多太服务器共享问题。

3 token

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

guyeluoqing

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Session、Cookie和Token的区别

jishuxhengjiu的博客

05-23

1113

Cookie和Session是存储在客户端和服务端的认证方式，用于记录用户的身份信息和会话信息。Token是一种服务端无状态的认证方式，通常代表一小段字符串，可以存储到cookie里，遂请求一起发过去，也可以存在服务器中。Cookie和Session是Session+Cookie的组合方式，用于在第一次请求时服务器生成一个信物，并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式，适用于REST API的场景。

Cookie、Session、Token、JWT的区别和使用场景

2303_76696898的博客

04-05

846

针对认证问题，负载至少应该包含能够告知服务端“这个用户是谁”的信息，针对授权问题，令牌至少应该包含能够告知服务端“这个用户拥有什么角色/权限”的信息。JWT 的负载部分是可以完全自定义的，根据具体要解决的问题不同，设计自己所需要的信息，只是总容量不能太大，毕竟要受到 HTTP Header 大小的限制。（Header）：它描述了令牌的类型（统一为 typ:JWT）以及令牌签名的算法，示例中 HS256 为 HMAC SHA256 算法的缩写，其他各种系统支持的签名。

1 条评论您还未登录，请先登录后发表或查看评论

session，cookie，token区别

tengxiang的博客

10-30

315

本文转自：https://blog.youkuaiyun.com/jikeehuang/article/details/51488020；https://blog.youkuaiyun.com/weixin_37196194/article/details/55806366 session session的中文翻译是“会话”，当用户打开某个web应用时，便与web服务器产生一次session。服务器使用sessi...

Cookie、Session、Token概念和应用场景

qq19970496的博客

11-26

911

目录Cookie场景：会话状态由客户端维护步骤：Cookie缺点Session场景：会话状态由服务端控制步骤：Session缺点Token场景：跨平台应用（单点登录）步骤：总结 HTTP协议是一种无状态协议。然而当用户访问服务器资源时，都需要判断你是谁，你有没有操作权限。这就需要一种会话状态维护机制。这时就设计了一套cookie、session、token用于状态维护。 Cookie 场景：会话状...

Cookie、Session 和 Token的使用场景和工作原理

weixin_51522175的博客

08-21

2166

在 Web 开发中，和是常用的技术，用于管理用户的认证和状态。它们各自有不同的使用场景和工作原理。

Session、Cookie 和 Token的区别及应用场景

爱睡觉的欧包

03-11

1063

Cookie 是服务器发送到用户浏览器并保存在本地的一小段数据，浏览器会在后续请求中自动携带该数据。

session、cookie、token的关系以及应用场景分析

GavinZhera的博客

03-12

1382

先来了解几个概念。 1、无状态的HTTP协议：协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则，超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。 HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。 2、...

Cookie、Session和Token三者的区别及使用

11-13

### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说，当你访问一个网站时，该网站可能会在你的计算机上留下一些信息（如用户名、密码等），...

彻底理解cookie，session，token的使用及原理

10-16

总的来说，cookie、session和token都是现代Web应用中不可或缺的技术，它们各自具有独特的特点和应用场景。理解它们的工作原理以及在实际应用中的利弊，对于开发安全、高效、可扩展的Web应用至关重要。

【每日一问】Cookie、Session 和 Token 有什么区别？

weixin_45589713的博客

03-08

1181

Cookie、Session 和 Token 有什么区别？

cookie，session，token的区别和作用

MaxMaxXiong的博客

11-16

1131

1.cookie，session，token的出现的背景很久很久以前，Web 基本上就是文档的浏览而已，既然是浏览，作为服务器，不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议，就是请求加响应，尤其是我不用记住是谁刚刚发了HTTP请求，每个请求对我来说都是全新的。这段时间很嗨皮但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统，哪些人往自己的购物车中放商品，也就是说我必须把每个人区分

Token的应用场景

e5bb96的博客

06-26

855

Token的应用场景

token的常见应用场景

fableboy的学习点滴

01-21

4963

token常常用在各种应用中，如下场景： 1，用户输入密码和帐号后，系统进行验证后，生成一个session，分配一个sessionid给使用者，后续服务使用者就无需每次都输入密码和验证密码了，只需把对应的帐户和sessionid带上即可，后端只需进行高效的sessionid的有效性校验即可。解决了关键接口或者敏感接口的多次调用，并且对sessionid的有效期等可以进行管理。

Token 令牌：原理、使用场景及操作指南

IT枫斗者的博客

11-20

3443

token是什么？（概念+应用场景+优缺点）

小草莓的博客

03-27

6164

总的来说，Token 作为一种身份验证和授权机制，具有便捷、安全等优点，但也需要注意安全性和管理问题。

Cookie、Session、Token的区别

m0_62569064的博客

04-20

993

白话说明Cookie、Session、Token的区别

会话技术------Cookie、Session、Token（JWT）详解

m0_74229735的博客

11-24

4909

Cookie是一种在客户端（通常是Web浏览器）和服务器之间传输的小型文本文件。它由服务器通过HTTP响应的头部设置，并存储在客户端的浏览器中。当客户端发送后续请求时，会将该Cookie信息包含在HTTP请求头中发送给服务器。Session是一种在Web应用程序中跨请求保持用户状态的机制。Session是一段服务器上的存储区域，用于存储用户信息和状态。当用户第一次访问Web应用程序时，服务器会创建一个Session，并给它分配一个唯一的标识符（session ID），然后将该标识符发送给客户端。

让你正式认识cookie、session、token三者的作用

vivlol918的博客

07-05

788

Cookie是一种在Web浏览器中存储数据的小文件。它由服务器发送给客户端，并在客户端的浏览器中进行存储。Cookie常用于在不同的HTTP请求之间传递数据，以便跟踪用户的会话信息、个性化设置和访问权限等。

【JavaWeb】Cookie和Session的使用场景

zzbzxzzdf的博客

06-30

853

Cookie 和 Session都是网页中常用的状态保持的技术，它们可以帮助网站识别用户身份，保存用户状态等，什么是 Cookie ？什么是 Session ？他们具体是什么？他们有什么区别和联系，本文将为你详细解惑，一起来看看叭~

Cookie和Session，Token

最新发布

08-06

### 工作原理及区别 #### Cookie Cookie 是一种存储在客户端的小型数据片段，通常由服务器通过 HTTP 响应头 `Set-Cookie` 发送，浏览器在后续请求中自动将其附加到请求头 `Cookie` 中。Cookie 用于维护客户端与服务器之间的状态信息，例如用户身份标识、偏好设置等。由于 Cookie 存储在客户端，其大小通常限制在 4KB 左右[^1]。 #### Session Session 是一种服务器端的状态管理机制。当用户首次访问服务器时，服务器会创建一个唯一的会话标识（Session ID），并将该标识通过 Cookie 发送给客户端。客户端在后续请求中携带该 Session ID，服务器通过查找 Session ID 对应的会话数据来识别用户状态。Session 数据存储在服务器端，因此不受客户端限制，但会增加服务器的存储负担[^1]。 #### Token Token 是一种无状态的身份认证机制，通常以 JWT（JSON Web Token）形式存在。它包含经过签名的用户信息，不需要在服务器端保存用户会话状态。Token 通常存储在客户端的 `localStorage`、`sessionStorage` 或 Cookie 中。Token 的生命周期通常较短，且通过 HTTPS 传输以确保安全性。一旦 Token 泄露，可能会被重用，因此通常结合 refresh token 机制来延长登录状态[^3]。 ### 使用场景 #### Cookie Cookie 适用于需要持久化用户状态的场景，例如记住用户登录状态、保存用户偏好设置等。由于 Cookie 是有状态的，适用于单体架构或小型应用。 #### Session Session 适用于需要在服务器端维护用户状态的场景，例如购物车管理、用户权限控制等。Session 适用于传统的单体架构应用，因为服务器需要维护会话状态，因此在分布式系统中需要额外的共享存储机制。 #### Token Token 适用于无状态的认证场景，特别是在分布式系统和微服务架构中。Token 通过签名验证用户身份，服务器无需维护会话状态，因此非常适合用于 OAuth、单点登录（SSO）等场景。JWT 是 Token 的一种标准化实现，提供了更安全和可扩展的特性[^4]。 ### 代码示例 #### 设置 Cookie ```python from flask import Flask, make_response app = Flask(__name__) @app.route('/set_cookie') def set_cookie(): resp = make_response("Setting Cookie") resp.set_cookie('user_id', '123') return resp ``` #### 创建 Session ```python from flask import Flask, session, redirect app = Flask(__name__) app.secret_key = 'secret_key' @app.route('/login') def login(): session['user_id'] = '123' return redirect('/profile') ``` #### 生成 JWT Token ```python import jwt from datetime import datetime, timedelta # 生成 Token def generate_token(user_id): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(hours=1) } token = jwt.encode(payload, 'secret_key', algorithm='HS256') return token # 验证 Token def verify_token(token): try: payload = jwt.decode(token, 'secret_key', algorithms=['HS256']) return payload['user_id'] except jwt.ExpiredSignatureError: return 'Token expired' except jwt.InvalidTokenError: return 'Invalid token' ```