Session·Cookie·Token总结

最新推荐文章于 2025-06-20 16:05:24 发布
原创 最新推荐文章于 2025-06-20 16:05:24 发布 · 236 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Session、Cookie和Token三种会话管理技术的工作原理及其优缺点。Session用于服务器端认证,Cookie存储于客户端并随请求发送,而Token作为认证令牌更加安全且支持跨域共享。

Session:

session是在服务器端,用于认证客户端身份:
1.客户端第一次发起一个http请求
2.服务器生成一条session信息,保存在服务器端;
3.服务器将生成的session id 一起通过http响应发送到客户端;
4.客户端将id存储在客户端cookie中(cookie对应本地主机的一个文件);
5.客户端下一次再次访问这个服务器资源时,会带上cookie信息;

值得注意的是,session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

Cookie:

cookie存在于客户端,cookie实际上是由服务器端生成(与session ID)对应,到了客户端之后,客户端以key-value的形式将cookie信息保存在某个目录下的文本文件中,实际上我们通常所说的cookie也就是以键值对形式存在的形式。在客户端向服务器发送请求时,会携带上cookie信息。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。一个浏览器能创建的 Cookie 数量最多为 300 个,并且每个不能超过 4KB,每个 Web 站点能设置的 Cookie 总数不能超过 20 个。

Token:

token实际上是令牌,用于认证和授权,是对用户身份的认证,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库。

1.客户端使用账号密码请求登陆;
2.服务器端收到客户端的账号密码,进行账号密码验证;
3.验证通过后,服务器端签发一个token给客户端,并将token保存一份在服务器端数据库或者服务器内存中;
4.客户端收到token,存储起来(cookie中);
5.客户端每次发起请求,都要携带token信息;
6.服务器收到请求,验证token,验证成功则发送客户端请求的数据。

个人理解:这里与cookie的主要区别是,cookie是对用户可见的,可随意修改,所以不安全,并且cookie信息保存在客户端,并且大小有限制;Session 就是在一次会话中解决2次HTTP的请求的关联,让它们产生联系,让2两个页面都能读取到找个这个全局的session信息。session信息存在于服务器端,所以也就很好的解决了安全问题,它保存在服务器端,在固定时间后将失效,session只是简单的认证,不支持与其他网站或者第三方软件共享;token比session更安全,它是在首次登陆时生成,后面在访问其他非登陆页面时,也不用反复的去让用户登陆,支持与其他第三方软件的共享,并且可根据不用用户进行不同的授权功能。

SessionCookieToken总结(面试)
fubicheng208的博客
06-11 1592
1. 引入: HTTP是无状态协议,无法记得上一次连接的信息,比如记不得用户是否已经登陆等信息。 而SessionCookieToken便是对HTTP无状态的一种补充; 2.Cookie: Cookie是浏览器对于一些信息的键值对形式保存,当浏览器关闭,Cookie也就删除了; 3. Session: Session是服务器中保存的对象(Tomcat保存在ConcurrentHashMap<Session>中),生成之后在返回Http response时,会发送sesionId给
django之CookieSessionToken
Shawn派大星
04-21 600
一.CookieSessionToken的由来 我们知道HTTP协议无连接的, 也就是不保存用户的状态信息 早期(十几年前)的网页是静态的, 数据都是写死的, 人们访问网页只是用来查看新闻的, 没有保存用户状态的需求 而往后出现了像论坛、博客、网购这一类需要保存用户信息的网站, 如果网站不保存用户的状态信息, 意味着用户每次访问都需要重新输入用户名和密码, 这无疑对用户的体验是极其不好的 于是, 就出现了会话跟踪技术, 我们可以把它理解为客户端与服务端之间的一次会晤, 一次会晤包含的多次请求与响应, 每
CookieSessionToken 总结
m0_38144883的博客
08-04 181
Cookie session token
cookie session token总结
dabaoting的博客
02-27 263
cookie session token总结发展史一、cookie1.cookie简介2.cookie特点2.1 由浏览器来管理2.2 不可跨域名2.3 中文需要编码2.4 可保存二进制图片2.5 读取cookie3. cookie常用属性3.1 maxAge 有效期3.2 secure 安全属性二、session1.session简介2.session生命周期3.常用属性3.1 maxInactiveInterval 超时时间4.需要浏览器客户端的支持4.1 cookie中存储JSESSIONID4.2
session,cookie,token总结
chengRantianxia的博客
09-06 154
HTTP简介 HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC,RFC 1945定义了HTTP/1.0版本。其中最著名的就...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
总结来说,SessionCookieToken都是Web应用中用于保持用户状态的机制,但它们的工作原理和应用场景各有不同。Session在服务器端保存用户状态,而CookieToken则将用户状态保存在客户端。了解这些机制的优缺点,...
彻底搞清sessioncookietoken的区别
最新发布
weixin_70787959的博客
06-20 828
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全与跨域问题;Session存储于服务端,通过SessionID与Cookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
CookieSessionToken解析
深夜无眠的博客
06-05 1204
简而言之,Cookie就是是一些数据,类型为“小型文本文件”,会以key-value的形式存储于电脑上的文本文件中。主要用于存储服务器返回给客服端的信息,然后在客户端中进行保存。在下一次访问该网站时,客户端会将保存的Cookie一同发给服务器,服务器再利用Cookie进行一些操作,比如使用Cookie记录用户的登录状态信息。
Python Django Web 框架会话技术(CookieSessionToken
理想的博客
07-22 428
一,什么是会话技术 Web浏览器和服务器之间的所有通信,都是通过HTTP协议进行的,该协议是无状态,短连接的。协议无状态的事实,意味着客户端和服务器之间的消息,完全相互独立 没有基于先前消息的“序列”或行为的概念。 会话:浏览器访问服务器端,发送多次请求,接受多次响应。直到有一方断开连接。会话结束。 解决问题:可以使用会话技术,在一次会话的多次请求之间共享数据。 通俗的说,因为Http协议是一个无状态协议,两次登录之间没有任何联系,想让它们之间有关系,就有了会话技术。也就是相当于变相延长了请求周期而且保存
会话技术(Cookie / Session / Token)
黄雄进的博客
12-16 485
CSRF ( cross site request forgery ) 跨站点请求伪造 假如有一个恶意的网站链接指向我的网站链接,如果当前某个用户已经登录到我的网站上,那么当用户点击了恶意网站这个链接时,我的网站以为是当前用户发生的请求,但其实是恶意网站伪造的请求 Django 里如何使用 CSRF 防护 首先,最基本的原则是:GET 请求不要存在副作用。也就是说任何处理 GET 请求的...
cookie session token 的区别
WangYouJin321的博客
05-23 653
什么是 Cookie HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。 Cookie 主要用于以下三个方面: ...
IM开发基础知识补课(四):正确理解HTTP短连接中的CookieSessionToken
weixin_34014277的博客
04-09 1610
本文引用了简书作者“骑小猪看流星”技术文章“CookieSessionToken那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
Django(Session,Cookie)
hunyxv的博客
11-07 2427
转载自:博主:BeginMan http://www.cnblogs.com/BeginMan/p/3890761.html一.Django authenticationdjango authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and response objects.还是模板中的{{user}}都能随时随地使用,如
cookiesessiontoken的理解
没有伞的孩子必须努力奔跑!—小林
10-23 1262
最近做welogger.com,想要用service worker来进行强缓存,因为访问特别慢,考虑用app shell模型来提升体验。但是出现了一个问题,API的csrf_token放在html中被缓存了的话,会跟随session的实效而失效。为了解决这个问题,貌似可以用token的方式来解决,laravel提供了passport来实现,但是自己对这些东西不是很了解,所以网上搜集了资料, 做
CookieSessionToken那点事儿(原创)
weixin_33739523的博客
03-05 288
本文已独家授权 鸿洋( hongyangAndroid) 公众号发布! 前言:新公司项目中使用到了Cookie,在各大Android技术讨论群向前辈们取经讨论这cookiesessiontoken这仨哥们的时候,很多开发者说法不一各抒已见,所以是时候回顾下http基础以及总结开发经验了。本文重在科普分析...
http中,关于cookie/session/token的小结(一)含义
weixin_42976139的博客
09-26 449
我们在访问一个网站时。以登录操作为例,账号登录成功。但其实我们新打开一个页面后,由于http协议是无状态的,所以服务器无法判断,这个是登录后的用户还是未登录的用户,也无法判断是哪一个用户。 那么,就用token这个方法,就用来进行web应用程序验证,记录用户身份,携带这个身份进行登录后的操作,给服务器发送信息 对比项 cookie session token 时效性 无时效性 有时...
django token session cookie 保持用户登录状态(用户登录信息保存,查询,删除)
海淀一只安东尼
02-20 2972
token (需要django的rest_framework.authtoken模块) 客户端通过post请求发送username和password到服务器端,服务器端验证用户名和密码正确后返回一个token 客户端接受返回的token并保存 客户端发起请求时需要在请求的header中的authentication属性添加token值 django使用request.user.is_authen...
详细介绍一下session cookie token jwt
08-09
### 回答1: SessionCookieToken、JWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. CookieCookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比SessionCookie,具有更高的安全性和可扩展性。 4. JWT:JWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: SessionCookieToken和JWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 CookieCookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。与Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWT:JWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:SessionCookieToken和JWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。SessionCookie依赖于服务器端存储用户状态,而Token和JWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值