终于有人讲清了session,cookie,token 区别

cookies 与 session 的区别

  • cookie:浏览器接收服务器的 set-cookie 指令,并把 cookie 保存到电脑上,每个网站保存的 cookie 只能用于自身的网站
  • session:数据存储到服务端,只把关联数据的一个加密串放到 cookie 中标记

token

token 的应用场景

  • 凭借认证信息获取 token,或者通过后台配置好 token
  • 在相关请求中使用 token,多数是以 query 参数的形态提供

session 与 token 的区别

  • token:一个用户请求时附带的请求字段,用于验证身份与权限
  • session:可以基于 cookie,也可以基于 query 参数,用于关联用户相关数据
  • 跨端应用时,比如 Android 原生系统不支持 cookie

    • 需要用 token 识别用户
    • 需要用把 sessionid 保存到 http 请求中的 header 或者 query 字段中

cookie的处理

传递 cookie 的方式

  • 通过请求头信息传递
  • 通过请求的关键字参数 cookies 传递

通过 header 传递 cookie

import requests


def test_demo():
    url = "https://httpbin.testing-studio.com/cookies"
    header = {"Cookie": "name=leo"}
    r = requests.get(url=url, headers=header)
    print(r.request.headers)
    
# 打印结果
{'User-Agent': 'python-requests/2.25.1', 
 'Accept-Encoding': 'gzip, deflate', 
 'Accept': '*/*', 
 'Connection': 'keep-alive',
 'Cookie': 'name=leo'}

通过关键字参数传递

import requests


def test_demo():
    url = "https://httpbin.testing-studio.com/cookies"
    header = {"User-Agent": "leo"}
    cookie = {
        "name": "leo",
        "address": "Foshan"
    }
    r = requests.get(url=url, headers=header, cookies=cookie)
    print(r.request.headers)
    
# 打印结果
{'User-Agent': 'leo', 
 'Accept-Encoding': 'gzip, deflate', 
 'Accept': '*/*', 
 'Connection': 'keep-alive', 
 'Cookie': 'address=Foshan; name=leo'}

\如果对软件测试有兴趣,想了解更多的测试知识,解决测试问题,以及入门指导,帮你解决测试中遇到的困惑,我们这里有技术高手。如果你正在找工作或者刚刚学校出来,又或者已经工作但是经常觉得难点很多,觉得自己测试方面学的不够精想要继续学习的,想转行怕学不会的, 公众号(程序员阿沐)都可以加入我们810119819,群内可领取最新软件测试大厂面试资料和Python自动化、接口、框架搭建学习资料!

### CookieSessionToken区别 #### 定义与工作原理 Cookie 是一种小型文本文件,由服务器发送给浏览器并存储于用户的设备上。当用户再次访问同一网站时,浏览器会将这些 Cookies 发送回服务器[^1]。 Session 是一种用于跟踪用户状态的技术,在服务端创建唯一的标识符并与特定用户关联起来。每次HTTP请求都通过该唯一ID来识别属于哪个用户的交互过程[^2]。 Token 则是一种自包含的字符串形式的身份验证凭证,通常采用 JSON Web Tokens (JWT) 格式编码而成。它包含了关于用户的信息以及签名部分以确保其真实性。客户端可以在本地(如浏览器中的 `localStorage` 或者作为 HTTP 请求头的一部分)保存此令牌,并随后续请求一起提交给 API 接口进行权限校验[^3]。 #### 存储位置 Cookies 被存放在客户端机器上的浏览器环境中;Sessions 数据则主要位于服务器一侧;而Tokens既可以被放置在前端应用内部也可以嵌入到API调用里去。 #### 使用场景 对于传统的Web应用程序来说,如果前后端部署在同一台物理机或者同一个域名之下,则可以考虑使用 Sessions 来管理登录态和其他临时性的个人信息。然而随着现代互联网架构的发展趋势向微服务体系迈进,分布式部署变得越来越普遍,此时利用无状态特性的 Tokens 就显得尤为重要了——它们不仅能够跨越多个子域甚至完全独立的服务之间传递认证信息,而且减少了对共享内存资源的需求从而提高了系统的可伸缩性和性能表现。 #### 安全特性对比 由于 Sessions 需要依赖于服务器端维护的状态信息,因此容易受到诸如 CSRF 攻击的影响。相比之下,基于 Token 的身份验证方案更加灵活且具备更强的安全保障措施,比如可以通过设置较短的有效期来降低泄露风险,同时支持刷新机制以便长期保持有效连接而不必频繁重新输入密码等敏感资料。 ```python import jwt def create_token(user_id, secret_key): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # Python3 中返回的是bytes类型数据,需解码成str ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值