token和session与cookie区别

已于 2024-03-08 17:38:59 修改
阅读量467 收藏 2
点赞数 10
CC 4.0 BY-SA版权
文章标签: spring boot
于 2024-01-26 10:54:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49916404/article/details/135859325
本文介绍了HTTP的无状态特性,以及如何通过Cookie、Session和Token来保存用户信息,实现身份验证。Token作为无状态机制,减轻服务器压力,适用于单点登录等场景。同时,还讨论了Session的有状态机制以及Cookie的使用特点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 首先:

http本身无状态,说白了就是不保存任何用户信息,所以引入cookie(客户端方案)、session(服务端方案)来保存用户信息

Token:

        服务端生成得一串字符串,作为客户端请求得一个令牌,每次登录时,服务器生成一个Tocken返回客户端,以后客户端带上tocken访问数据,无需拿用户名密码。

工作原理:

        用户提供凭据(例如用户名密码)进行身份验证;

        服务器验证凭据,并在验证通过后生成一个token;

        服务器将Token发送给客户端(通常在http响应中的头部或响应体中)

        客户端保存Token,并在后续的请求中将其发送个服务器

        服务器接收到请求后,验证token,如果验证通过允许用户访问资源

Token位置:

        http请求头内:

        在http请求和响应中,可以在“Authorization”或“Access-Control-Token”头部字段中包含令牌。

        GET /api/userinfo HTTP/1.1
        Host: example.com
        Authorization: Bearer YOUR_TOKEN_HERE

        cookie内:

        GET /index.html HTTP/1.1
        Host: www.example.com
        Cookie: session_token=YOUR_TOKEN_HERE; username=JohnDoe

        请求参数GET/POST类型

        POST /api/login HTTP/1.1
        Host: example.com
        Content-Type: application/json
        {
        "username": "johndoe",
        "password": "secret",
        "token": YOUR_TOKEN_HERE
        }

        隐藏在提交的表单中

        POST /api/login HTTP/1.1
        Host: example.com
        Content-Type: application/x-www-form-urlencoded
        username=johndoe&password=secret&token=YOUR_TOKEN_HERE

目的:

        减轻服务器压力,减少频繁得查询数据库,使服务器更加健壮

优点:

        扩展性强,安全

应用:

        防止表单重复提交,anti csrf攻击(跨站点请求伪造),身份验证(单点登录)

GPT:

        Tocken是一种无状态得身份验证机制(无状态stateless是指:进行通信时不会在服务器端保存客户端得任何状态信息,每次请求多是独立得,服务器不能从之前得任何请求中得到当前请求得信息;有状态stateful:进行通信时会在服务器端保存客户端得状态信息,例如session,有状态得存储机制)

session(会话):

        一种有状态得服务器端机制,跟踪用户和服务器端得交互状态。当用户首次访问服务器时,服务器会为其创建一个唯一得sessionId,并将该Id以cookie得形式发送给客户端保存,客户端每次发送请求时,都会带上session Id,服务器根据该id识别用户并维持该用户得状态。服务端可以在session中存储用户相关得数据,数据存储在服务器上,用户无法直接访问,存储大得数据比cookie合适

        

cookie (HTTP cookie)

        存储在客户端(浏览器)上得小型文本文件,由服务器通过HTTP相应头部发送给客户端,然后客户端将其保存在本地,每次客户端向服务器发送请求时,会自动将cookie附加到http请求头中发送给服务器。cookie通常用于记录用户得身份认证信息和保存一个用户偏好设置,

对象:

        针对每一个网站的信息,每个网站对应一个,其他网站无法访问,每次访问网站,浏览器会查找该网站的cookie,有将文件发送出去,   

包含的信息:

        名称(name):指定了cookie的唯一标识符;

        值(value):存储在cookie中的数据;

        过期时间(Expires):可设置,不设置关闭浏览器自动过期;

        path:指定cookie可以在那些路径下使用;

        Domain:指定了那些子域可以访问cookie。格式通常为“.xxx.com”,其中“xxx”为顶级域名;

        Secure:设置了只能用使用https协议才能访问cookie

        HttpOnly:如果cookie中设置了HttpOnly属性,那么通过JavaScript脚本将无法读取cookie信息

  • Cookie是存储在客户端的小型文本文件,用于记录用户的身份认证信息和保存一些偏好设置。
  • Session是一种服务器端的机制,用于跟踪用户与服务器之间的交互状态,服务器端存储Session数据。
  • Token是一种无状态的身份验证机制,用于在客户端和服务器之间进行身份验证和授权,不需要在服务器端存储会话信息。
Python高频面试题4 - SessionCookieToken 核心区别技术对比
孤寒者的博客
04-26 1万+
Python高频面试题4 - SessionCookieToken 核心区别技术对比
tocken机制
最自由的笑的博客
09-10 1498
cookie-session机制的缺点 如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失,因为session默认存放在一个服务器内存中。 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。过多的Session存储在服务器内存中,会对服务器造成压力。 如果浏览器不支持cookiecookie-session机制便无法使用。 cookie存在跨域的限制。 tocken机制流程 当用户登录成功之后, 服务器端就会通过指定算法生成一个 token,过期时间
cookiesessiontoken
weixin_47547541的博客
08-23 173
cookiesessiontoken
2020-11-27 tocken方式前后端验证
学海无涯,我用JAVA
12-02 386
2 返回token给前端,前端通过token获取该用户信息,后端通过在redis中获取,返回给前端信息,若获取不到,证明未登陆,或者已经过期。5 用户更新密码: 前端将旧密码,新密码,都RSA 在base64 传给后端,后端首先校验旧密码是否正确,同4 ,之后在将新密码 同3 处理。3 后端接到后,首先用base64解密,并用RSA私钥解密,得到密码明文,加盐后,MD5加密存储在数据库中。后端收到,base64解密,并查找该用户得到该密钥,然后用密钥解密,得到明文,然后将明文加盐后 MD5加密。
Python接口自动化之带参数请求cookiessessiontoken处理方法
qq_40207262的博客
04-10 3008
接口登录鉴权参数的处理方法
Token 认证的来龙去脉
weixin_33777877的博客
11-06 630
不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免CSRF 攻击 Token...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
SessionCookieToken区别
jishuxhengjiu的博客
05-23 997
CookieSession是存储在客户端服务端的认证方式,用于记录用户的身份信息会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
彻底搞清sessioncookietoken区别
最新发布
weixin_70787959的博客
06-20 789
摘要: HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求,为解决这一问题,CookieSessionToken应运而生。Cookie存储于客户端(≤4KB),自动携带于请求头,但存在安全跨域问题;Session存储于服务端,通过SessionIDCookie关联,安全性高但消耗服务器资源;Token(含Header、Payload、Signature)仅存储用户ID,无需服务器存储,安全性强且支持跨域,但需频繁查询数据库。三者各具优劣:Session以空间换时间,Token以时间换空间,
tokensessioncookie区别
03-28
tokensessioncookie都是在Web开发中用来维护用户登录状态的技术,但它们有以下区别: 1. tokensession都是服务器端存储的,而cookie是客户端存储的; 2. tokensession都是用来维护用户登录状态的,而cookie...
鉴权 cookie session token区别
qq_43844012的博客
04-19 1667
背景 在B站看到一个up的详细解说cookiesessiontocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
什么是token/token如何使用
qq_45955475的博客
11-01 2万+
什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。 token的存储 token可以存到数据库中,但是有可能查询token
什么是Token(令牌)
热门推荐
阿狸来了,哇咔咔
10-16 5万+
Acess Token 访问资源接口(API)时所需要的资源凭证 简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串) 特点: 服务端无状态变化、可扩展性好 支持移动端设备 安全 支持跨域程序调用 token 的身份验证流程 客户端使用用户名密码进行登录 服务端收到请求,去验证用户名密码 验证成功后,服务端会签发一个token 并把这个token
Token,CookieSession三者的区别
winkexin的博客
05-12 5931
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。
redis 五种常用的数据类型 以及 三种特殊数据类型
凉快
12-05 986
常用命令:菜鸟传送门 String 字符串,就是最常见的 k-y 形式 name eric 常用命令: // 存入一个 k-y set key value // 获取key的value get key // 获取key中的子字符串 getrange key start_s end_s // 给key赋新值value返回旧值old value getset key valu...
Cookiesessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWSJWE 一篇文章带你分清楚JWT,JWSJWE 参考URL: https://blog.youkuaiyun.com/weixin_37569048/article/details/86677165
web安全之token
weixin_33739627的博客
07-07 721
参考:http://blog.youkuaiyun.com/sum_rain/article/details/37085771   Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过ses...
Tokensession的理解及使用
weixin_30265103的博客
10-24 668
最近项目中有用到TokenSession,但是我对此不是很理解,所以特地整理下学习笔记,已便自己查看,也可以帮助到更多跟我一样有疑惑者。 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名密码并进行对比,判断用户名密码正确否,并作出相应提示,在这样的背景下,Token便应运而生。 ...
Token&Session简介
Vicente的博客
07-17 1463
Token & Session 一、我们先解释一下他的含义: Token 的引入:Token 是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名密码并进行对比,判断用户名密码正确否,并作出相应提示,在这样的背景下,Token 便应运而生。 Token 的定义:Token 是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个 Token 便将此Token返回给客户端,以后客户端只需带上这个 Token 前来请求数据即可,无需再次带上用户名密码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值