一文讲透Cookie、Session、Token的爱恨情仇(附场景选择指南)

最新推荐文章于 2025-05-17 16:05:30 发布
最新推荐文章于 2025-05-17 16:05:30 发布
阅读量812 收藏 24
点赞数 9
CC 4.0 BY-SA版权
文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/matrixmind8/article/details/148015058

文章目录

一、为什么我们需要它们?

当你登录淘宝查看订单时,系统怎么记住你是张三而不是李四?当你在B站刷视频突然断网,重新连接后为什么不需要重新登录?(灵魂发问)这都要归功于今天要讲的三大护法:Cookie、Session、Token!

二、Cookie:互联网世界的通行证

2.1 初识Cookie

想象一下你去游乐园,工作人员在你手上盖的隐形印章(肉眼不可见但紫外线灯下可见)。Cookie就是这样一个存在,服务器通过Set-Cookie响应头给浏览器发的小纸条。

// 服务端设置Cookie示例(Node.js版)
response.setHeader('Set-Cookie', ['user_id=9527; Max-Age=3600', 'theme=dark; Secure']);

2.2 工作原理四部曲

  1. 首次访问:浏览器裸奔(没带Cookie)
  2. 服务端响应:塞给你身份证(Set-Cookie)
  3. 后续请求:自动出示身份证(自动携带Cookie)
  4. 服务端验票:核对身份证信息

2.3 优缺点大PK

✅ 优点❌ 缺点
简单易用容易被CSRF攻击(后面会讲防御方案)
客户端存储省资源有4KB大小限制
支持跨域(配置得当)明文传输可能被窃听

2.4 适用场景推荐

  • 记住用户语言偏好(如中英文切换)
  • 存储非敏感主题配置(暗黑模式/明亮模式)
  • 电商网站的浏览历史记录(用户未登录时)

三、Session:服务端的秘密小本本

3.1 Session的本质

服务端有个保险箱(内存/数据库),每个用户分配一个独立抽屉(SessionID)。这个抽屉钥匙就是通过Cookie传给浏览器的session_id

# Flask框架的session使用示例
from flask import session

@app.route('/login')
def login():
    session['user'] = 'zhangsan'  # 自动设置Cookie
    return '登录成功'

3.2 生命周期全解析

  1. 用户登录:开保险箱新建抽屉(创建Session)
  2. 服务存储:用户信息锁进抽屉
  3. 请求到来:核对钥匙有效性(验证SessionID)
  4. 超时销毁:30分钟不用自动清空(可配置)

3.3 致命弱点预警

⚠️ 集群部署时会出现「抽屉找不到」的尴尬情况!这时候需要:

  • 使用Redis等集中存储方案
  • 配置Sticky Session粘性会话
  • 或者…直接改用Token方案(伏笔)

四、Token:新时代的令牌侠

4.1 JWT结构解剖

一个标准的JWT令牌长这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

拆开看是三段式结构:

头.载荷.签名
↓   ↓   ↓
加密算法 用户数据 防伪标识

4.2 颁发流程全揭秘

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
(流程图说明:用户登录→验证通过→生成Token→返回给客户端→客户端存localStorage)

4.3 优势暴击三连

  1. 无状态:服务端不用存数据
  2. 防CSRF:不用自动携带
  3. 跨域友好:适合APP、小程序等移动端

五、世纪大对决:选型决策指南

5.1 同台竞技参数表

维度CookieSessionToken
存储位置浏览器服务端客户端
安全性较低较高中高
扩展性受限(4KB)依赖存储方案无限制
适用场景简单状态保持传统Web系统分布式/跨平台

5.2 黄金选择法则

  • 传统Web网站 → Session + Cookie(经典组合)
  • 移动端/API服务 → Token方案(JWT/OAuth2)
  • 简单配置存储 → Cookie足矣(比如主题切换)

六、防坑指南(血泪经验)

6.1 Cookie安全三板斧

  1. 设置HttpOnly防XSS
// Java设置安全Cookie
Cookie cookie = new Cookie("user","zhangsan");
cookie.setHttpOnly(true);
cookie.setSecure(true);  // 仅HTTPS传输
  1. SameSite属性防CSRF
  2. 签名+加密敏感数据

6.2 Token续期方案

推荐双Token策略:

  • Access Token(短效,2小时)
  • Refresh Token(长效,7天)
    当Access Token过期时,用Refresh Token静默续期

七、高频灵魂拷问

Q1:Token被盗怎么办?

立即拉黑!服务端维护Token黑名单,关键操作需二次验证(短信/邮箱)

Q2:Session和Token能混用吗?

可以但没必要!比如用Session存权限信息,用Token做API认证,会增加系统复杂度

Q3:移动端如何存Token?

推荐:

  • iOS → Keychain
  • Android → EncryptedSharedPreferences
  • 跨平台 → 安全存储SDK

八、最佳实践路线图
新项目启动
是否需要跨平台?
采用JWT方案
是否已有用户系统?
Session优化方案
Cookie基础方案

最后说两句

三剑客没有绝对的好坏(重要的事情说三遍),就像选女朋友要看合不合适。最近在做微服务改造,把用了5年的Session方案迁移到JWT,过程中踩过的坑都能写本小说了。下次可以单独聊聊JWT的深水区玩法,比如动态秘钥轮转、无感刷新这些高阶姿势~

matrixmind8
关注
一文读懂】 Http之Cookie SessionToken
zyq8514700的博客
10-21 438
来源引用链接{本文仅用于笔记} 【WHY】Http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具。 现在我们来想一个复杂的场景,如在购物网站上买...
一文读懂CookieSessionToken和JWT
htong521的博客
02-23 277
什么是认证(Authentication) 什么是授权(Authorization) 什么是凭证(Credentials) 什么是 Cookie 什么是Session CookieSession 的区别 什么是 Token(令牌) TokenSession 的区别 什么是 JWT Token 和 JWT 的区别 常见的前后端鉴权方式 常见的加密算法 常见问题 ...
使用cookie的利弊
qq_44436509的博客
03-21 920
Web Storage的概念和cookie相似,区别。其他信息如果需要保留,可以放在COOKIE中。将登陆信息等重要信息存放为SESSION
什么是cookiecookie优缺点
wsdshdhdhd的博客
03-04 2444
JavaScript基础 前端 码农 新手知识点必看
CookieSessionToken
最新发布
qq_66847466的博客
05-17 971
CookieSessionToken是三种常见的用户身份验证和状态管理机制。Cookie是由服务器发送到客户端的小数据片段,用于存储用户状态信息,如登录状态或偏好设置。它存储在客户端,每次请求时自动发送,但存在容量限制和安全性问题。Session则是在服务器端存储用户会话信息的机制,通过唯一的SessionID与客户端通信,安全性较高但增加服务器负担。Token是一种自包含的数据结构,如JWT,包含用户信息并由客户端存储和发送,适合无状态认证和分布式系统,但存在泄露风险。三者各有优缺点,适用于不同的应用
什么是cookie?cookie优缺点
2301_79265530的博客
01-13 518
cookie是一种存储于访问者计算机中的变量,由浏览器负责保存在电脑本地,cookie是浏览器提供的一种机制,可以有java script(JS)进行控制(设置、读取、删除)1。经许可(或不在Google的情况下),第三方可以访问这些cookie存储的信息。容易造成安全风险:cookie是以明文形式存储,可能会造成安全风险,因为任何人都可以打开并篡改cookie。方便用户登录:可以将登录信息存储在cookie中,省去每次登录都需要输入用户名和密码的麻烦。
CookieToken优缺点
一只猫
01-17 1054
综上所述,CookieToken 各有优缺点选择哪种方式取决于具体的需求和安全要求。通常情况下,如果对安全性要求比较高,推荐使用 Token;如果对安全性要求不是很高,且需要简单易用的方案,可以选择 CookieCookieToken 都是常见的身份验证和会话管理机制,它们各自有优缺点,需要根据具体需求来选择合适的方案。
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
Fatter$hday的博客
05-24 3890
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
一文彻底弄懂cookiesessiontoken
ITGENIUS1的博客
07-16 354
前言 作为一个JAVA开发,之前有好几次出去面试,面试官都问我,JAVAWeb掌握的怎么样,我当时就不知道怎么回答,Web,日常开发中用的是什么?今天我们来说说JAVAWeb最应该掌握的三个内容。 发展历程 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。 2、但是随着交互式Web应用的兴起,像在线购物网站,
一文清楚JWT/Session的不同原理、所有注意点及场景应用
2302_81141145的博客
04-21 897
门卫检查会员卡→ 这就是身份验证给你一个手环→ 类似Session给你一张防伪电子卡→ 类似JWT在Web开发中,我们需要用技术手段实现类似的验证机制。今天我们就来彻底搞懂两种主流方案:Session和JWT。修眼镜用螺丝刀(Session适合集中式Web)拧螺母用扳手(JWT适合分布式API)理解原理后,你甚至可以像瑞士军刀一样组合使用它们。适合业务场景的方案才是最好的!(完)
请你谈谈Cookie的弊端
zxxvip的博客
06-16 6827
cookie虽然在持久保存客户端数据提供了方便,分担了服务器存储的负担,但还是有很多局限性的。 第一:每个特定的域名下最多生成20个cookie 1.IE6或更低版本最多20个cookie 2.IE7和之后的版本最后可以有50个cookie。 3.Firefox最多50个cookie 4.chrome和Safari没有做硬性限制 IE和Opera 会清理近期最少使用的cookie,Fir
cookie优缺点
weixin_33885676的博客
03-12 624
优点 :极高的扩展性和可用性   1.通过良好的编程,控制保存在cookie中的session对象的大小。   2.通过加密和安全传输技术(ssl),减少cookie被破解的可能性   3.只有cookie中存放不敏感数据,即使被盗了也不会有多大的损失   4.控制cookie的生命期,使之不会永远有效。 缺点:   1."cookie" 数量和长度的限制,每个domai...
使用 Cookie 的优点与缺点
三生三世的博客
05-14 4865
使用 Cookie 的优点为:     可配置到期规则 Cookie 可以在浏览器会话结束时到期,或者可以在客户端计算机上无限期存在,这取决于客户端的到期规则。     不需要任何服务器资源 Cookie 存储在客户端并在发送后由服务器读取。     简单性 Cookie 是一种基于文本的轻量结构,包含简单的键值对。     数据持久性 虽然客户端计算机上 Cookie 的持续时间取决于客
什么是cookie以及cookie的特性、优缺点
Internet情缘。
09-01 1万+
什么是cookie cookie是存储于访问者计算机中的变量 cookie是浏览器提供的一种机制 可以由JavaScript对其进行控制(设置、读取、删除) cookie的特性 cookie可以实现跨页面全局变量 cookie可以跨越同域名下的多个网页,但不能跨越多个域名使!用 同一个网站中所有页面共享一套cookie 可以设置有效期限 存储空间4-10KB左右 cookie机...
cookie的作用和弊端
热门推荐
liang526011569的博客
11-29 1万+
cookie作用: 1.可以在客户端上保存用户数据,起到简单的缓存和用户身份识别等作用。 2.保存用户的登陆状态,用户进行登陆,成功登陆后,服务器生成特定的cookie返回给客户端,客户端下次访问该域名下的任何页面,将该cookie的信息发送给服务器,服务器经过检验,来判断用户是否登陆。 3.记录用户的行为。 cookie弊端: 1.增加流量消耗,每次请求都需要带上c
简述 CookieSession的区别和优缺点
心有猛虎,细嗅蔷薇
09-28 3762
具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。 Cookie优缺点: 优点:极高的扩展性和可用性 通过良好的编程,控制保存在cookie中的session对象的大小。 通过加密和安全传输技术(SSL),减少cookie被破解的可能性。 只在cookie中存放不敏感数据,即使被盗也不会有重大损失。 控制cookie的生命期,使之不
Cookie的主要用途、优缺点
weixin_34219944的博客
06-13 1006
为什么80%的码农都做不了架构师?>>> ...
Cookie工作原理
黄刚的技术博客
10-13 4090
Cookie概述        Cookie是Web服务器生成,向用户浏览器发送的一小段ASCII文本。当浏览器接收到后,会将其信息片段以“键-值”对的形式保存在某个目录下的文本文件中。以后每次向同一个服务器发送请求的时候,浏览器都会发送以前存储在本地的Cookie。浏览器和服务器通过HTTP协议进行通讯,Cookie便被保存在HTTP的请求部分(Set-Cookie)。        HTT
sessioncookie和jwt
07-27
SessionCookie和JWT是用于在Web应用中管理用户身份和状态的机制。 Session是一种服务器端的会话状态记录机制,它基于Cookie实现。服务器在生成Session时会在Cookie中存储一个SessionID,用于标识该用户的会话状态。Session数据存储在服务器端,可以存储任意数据类型,并且具有较高的安全性。Session的默认生效时间是30分钟,但可以根据需要进行调整。\[1\]\[3\] Cookie是一种浏览器实现的数据存储技术,用于在客户端存储少量的数据。服务器在生成Cookie时会将其发送给浏览器,浏览器会在下一次请求同一网站时将该Cookie发送给服务器。Cookie可以用于会话管理、个性化设置和用户行为追踪等功能。Cookie存储在客户端,以文本形式保存字符串类型的数据,单个Cookie的数据大小不能超过4KB。然而,Cookie的安全性相对较低,容易受到攻击。\[2\] JWT(JSON Web Token)是一种用于在客户端和服务器之间传递安全信息的开放标准。它由三部分组成:头部、载荷和签名。JWT的头部包含算法和令牌类型等信息,载荷包含要传递的数据,签名用于验证令牌的真实性。JWT具有自包含性,可以在令牌中携带用户身份和其他相关信息,无需在服务器端存储会话状态。JWT的优点是可扩展性好、适用于分布式系统和无状态的API等场景。\[3\] 综上所述,Session是一种服务器端的会话状态记录机制,Cookie是浏览器实现的数据存储技术,而JWT是一种用于在客户端和服务器之间传递安全信息的开放标准。它们各自具有不同的特点和适用场景,可以根据具体需求选择使用。 #### 引用[.reference_title] - *1* [Cookie,Session和JWT](https://blog.youkuaiyun.com/qq_40866897/article/details/109162111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [一文详解Token,Session,Cookie和JWT的区别](https://blog.youkuaiyun.com/loseyourself94/article/details/129991986)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值