终于有人讲清了session,cookie,token 区别

最新推荐文章于 2025-04-27 11:06:32 发布
最新推荐文章于 2025-04-27 11:06:32 发布
阅读量375 收藏 1
点赞数
文章标签: python 开发语言 后端 接口测试 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61655732/article/details/121001754
版权

cookies 与 session 的区别

  • cookie:浏览器接收服务器的 set-cookie 指令,并把 cookie 保存到电脑上,每个网站保存的 cookie 只能用于自身的网站
  • session:数据存储到服务端,只把关联数据的一个加密串放到 cookie 中标记

token

token 的应用场景

  • 凭借认证信息获取 token,或者通过后台配置好 token
  • 在相关请求中使用 token,多数是以 query 参数的形态提供

session 与 token 的区别

  • token:一个用户请求时附带的请求字段,用于验证身份与权限
  • session:可以基于 cookie,也可以基于 query 参数,用于关联用户相关数据

  • 跨端应用时,比如 Android 原生系统不支持 cookie

    • 需要用 token 识别用户
    • 需要用把 sessionid 保存到 http 请求中的 header 或者 query 字段中

cookie的处理

传递 cookie 的方式

  • 通过请求头信息传递
  • 通过请求的关键字参数 cookies 传递

通过 header 传递 cookie

import requests


def test_demo():
    url = "https://httpbin.testing-studio.com/cookies"
    header = {"Cookie": "name=leo"}
    r = requests.get(url=url, headers=header)
    print(r.request.headers)
    
# 打印结果
{'User-Agent': 'python-requests/2.25.1', 
 'Accept-Encoding': 'gzip, deflate', 
 'Accept': '*/*', 
 'Connection': 'keep-alive',
 'Cookie': 'name=leo'}

通过关键字参数传递

import requests


def test_demo():
    url = "https://httpbin.testing-studio.com/cookies"
    header = {"User-Agent": "leo"}
    cookie = {
        "name": "leo",
        "address": "Foshan"
    }
    r = requests.get(url=url, headers=header, cookies=cookie)
    print(r.request.headers)
    
# 打印结果
{'User-Agent': 'leo', 
 'Accept-Encoding': 'gzip, deflate', 
 'Accept': '*/*', 
 'Connection': 'keep-alive', 
 'Cookie': 'address=Foshan; name=leo'}

\如果对软件测试有兴趣,想了解更多的测试知识,解决测试问题,以及入门指导,帮你解决测试中遇到的困惑,我们这里有技术高手。如果你正在找工作或者刚刚学校出来,又或者已经工作但是经常觉得难点很多,觉得自己测试方面学的不够精想要继续学习的,想转行怕学不会的, 公众号(程序员阿沐)都可以加入我们810119819,群内可领取最新软件测试大厂面试资料和Python自动化、接口、框架搭建学习资料!

CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4787
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
SessionStorage 安全指南:前端开发者必须知道的 4 个安全隐患
最新发布
前端视界的博客
05-29 611
前端开发中,SessionStorage 是处理临时数据的「常用工具」——从保存表单草稿到缓存用户行为记录,它的「会话级生命周期」让开发者误以为「数据更安全」。但近年来因 SessionStorage 滥用导致的用户信息泄露事件频发(如某电商平台登录 token 泄露),本文将聚焦SessionStorage 的核心安全风险,覆盖从原理到防护的全链路知识。用「超市储物柜」类比讲清 SessionStorage 到底是什么;拆解 4 大核心安全隐患(附攻击代码演示);
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
04-06 sessioncookietoken 区别
Leo-Fighting的博客
09-01 197
cookies 与 session区别 cookie:浏览器接收服务器的 set-cookie 指令,并把 cookie 保存到电脑上,每个网站保存的 cookie 只能用于自身的网站 session:数据存储到服务端,只把关联数据的一个加密串放到 cookie 中标记 token token 的应用场景 凭借认证信息获取 token,或者通过后台配置好 token 在相关请求中使用 token,多数是以 query 参数的形态提供 sessiontoken区别 token:一个用户
cookiesessiontoken详解
qq_42219004的博客
04-27 936
Token 完全由应用管理,所以它可以避开同源策略Token 可以避免 CSRF 攻击Token 可以是无状态的,可以在多个服务间共享。
彻底理解cookiesessiontoken
weixin_30535043的博客
07-09 870
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话...
SessionCookieToken的主要区别
Guizy
06-19 1782
SessionCookieToken的主要区别 HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份, 也就是说无法知道上一次请求的对象是谁, 此时就要使用到会话跟踪技术 什么是cookie cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
sessioncookietoken区别
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
XSS、CSRF、SSRF
网络安全知识分享
09-22 8801
XSS、CSRF、SSRF相同不同修复方式面试题: 相同不同 相同点: XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 相同点: XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户
安全防范 XSS 、CSRF、SSRF
Yweivvv的博客
04-01 1112
XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击 CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用...
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
session cookie token 区别
Alice_1011的小屋
04-26 1395
session cookie token区别
看完这篇 SessionCookieToken,和面试官扯皮就没问题了
weixin_48675073的博客
10-19 1333
CookieSession 开奖之前给大家一个福利 送java架构鼠标垫 免费领取 要的可以+V HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP 的无状态特性。 Session 是什么 客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为 ConcurrentHashMap。Ses...
CookieSessionToken区别与用途
ProgramNovice的博客
04-23 2484
CookieSessionToken区别与用途
cookietoken区别
Floatwor青舟的博客
03-28 1039
目录首先看看cookiesession的用途What is TokenTokensession+cookie区别 cookiesession都是会话保持技术的解决方案,随着技术的发展,token机制出现在了我们面前,有木有人傻傻分不清,我就是0.0。记录一下,Salute! 首先看看cookiesession的用途 要知道我们访问网站都是通过HTTP协议或HTTPS协议来完成的,HTTP协议它本身是无状态的协议(即:服务器无法分辨哪些请求是来源于同个客户)。而业务层面会涉及到客户端与服务器端的交互
CookieToken区别?
renqq001的博客
11-27 606
CookieToken区别?
session , cookie ,token区别及联系
winnieFighting
07-02 389
session session的中文翻译是"会话",当用户打开某个web应用时,便与web服务器产生一次session.服务器使用session把用户的信息临时保存在了服务器上,注意是服务器上,用户离开网站后session就会被摧毁.这种用户信息存储防护相对cookie来说更加的安全,可是呢,session有一个缺陷,那就是:如果web服务器做了负载均衡,name下一个操作请求到了另一台服务器的时...
一文快速理解Session,Cookie,Token区别
铁马冰河入梦来
08-04 724
一. 为什么需要Cookie? HTTP是一种无状态的协议,客户端与服务器建立连接并传输数据,数据传输完成后,连接就会关闭。Cookie是解决HTTP无状态性的有效手段,服务器可以设置或读取Cookie中所包含的信息。当用户登录后,服务器会发送包含登录凭据的Cookie到用户浏览器客户端,而浏览器对该Cookie进行某种形式的存储(内存或硬盘)。用户再次访问该网站时,浏览器会发送该Cookie到服务器,服务器对该凭据进行验证,合法时使用户不必输入用户名和密码就可以直接登录。 Cookie的类型 Coo
cookiesessiontoken区别
03-09
### CookieSessionToken区别 #### 定义与工作原理 Cookie 是一种小型文本文件,由服务器发送给浏览器并存储于用户的设备上。当用户再次访问同一网站时,浏览器会将这些 Cookies 发送回服务器[^1]。 Session 是一种用于跟踪用户状态的技术,在服务端创建唯一的标识符并与特定用户关联起来。每次HTTP请求都通过该唯一ID来识别属于哪个用户的交互过程[^2]。 Token 则是一种自包含的字符串形式的身份验证凭证,通常采用 JSON Web Tokens (JWT) 格式编码而成。它包含了关于用户的信息以及签名部分以确保其真实性。客户端可以在本地(如浏览器中的 `localStorage` 或者作为 HTTP 请求头的一部分)保存此令牌,并随后续请求一起提交给 API 接口进行权限校验[^3]。 #### 存储位置 Cookies 被存放在客户端机器上的浏览器环境中;Sessions 数据则主要位于服务器一侧;而Tokens既可以被放置在前端应用内部也可以嵌入到API调用里去。 #### 使用场景 对于传统的Web应用程序来说,如果前后端部署在同一台物理机或者同一个域名之下,则可以考虑使用 Sessions 来管理登录态和其他临时性的个人信息。然而随着现代互联网架构的发展趋势向微服务体系迈进,分布式部署变得越来越普遍,此时利用无状态特性的 Tokens 就显得尤为重要了——它们不仅能够跨越多个子域甚至完全独立的服务之间传递认证信息,而且减少了对共享内存资源的需求从而提高了系统的可伸缩性和性能表现。 #### 安全特性对比 由于 Sessions 需要依赖于服务器端维护的状态信息,因此容易受到诸如 CSRF 攻击的影响。相比之下,基于 Token 的身份验证方案更加灵活且具备更强的安全保障措施,比如可以通过设置较短的有效期来降低泄露风险,同时支持刷新机制以便长期保持有效连接而不必频繁重新输入密码等敏感资料。 ```python import jwt def create_token(user_id, secret_key): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # Python3 中返回的是bytes类型数据,需解码成str ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值