关于session、cookie、token以及JWT

最新推荐文章于 2025-04-11 13:46:27 发布
最新推荐文章于 2025-04-11 13:46:27 发布
阅读量621 收藏
点赞数 1
分类专栏: 前后端 架构师成长之路 文章标签: session cookie token JWT Oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014374009/article/details/105064365
版权
本文介绍了session、cookie、token以及JWT的概念和应用场景。session用于存储用户状态,通常与cookie结合使用,但session存储在服务器端,存在扩展性和可靠性问题。token,特别是JWT,作为无状态的身份验证方式,具有安全、可扩展等优势,适用于分布式系统和移动设备。JWT由Header、Payload和Signature三部分组成,常用于API和Web应用的身份验证。Oauth2.0是一种授权机制,与JWT在身份验证方面有所交叉但并非同一概念。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于session、cookie、token以及JWT。

session和cookie

现在一般都是session和cookie一起用,一起提。但是他们俩其实不是一定要在一起。
首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。
这样用户就疯了,怎么一直让我登录。
所以,前人想了一个办法,在第一次登录后,在服务器端记录一个会话id(sessionId),记录一下用户及其状态。然后把sessionId回给浏览器。浏览器将这个sessionId记录到cookie里,下一次请求再带上。这样服务器从请求中拿到cookie里的sessionId,到自己的存储(一般是用redis)里查一下,得到用户的状态。之后就可以愉快的进行下面的操作了。
总之,

  1. session是服务器端的,cookie是浏览器端的
  2. cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。禁用cookie后还有其他方法存储,比如放在url中
  3. 现在后端服务都是分布式部署,session一般统一放在redis集群中。这样有个问题就是一旦redis故障,可能会影响所有的用户
了解本专栏 订阅专栏 解锁全文 超级会员免费看
CookieSessionTokenJWT
weixin_58045199的博客
07-08 498
CookieSessionTokenJWT(
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
授权认证登录之 CookieSessionTokenJWT详解
qq_20236937的博客
03-06 2101
授权认证登录之 CookieSessionTokenJWT 详解
cookiesessiontokenJWT简介
最新发布
Ws_9901的博客
04-11 584
Cookie 是由服务器发送到用户浏览器并保存在本地的一小段文本信息。它通常包含有关用户的信息,如登录状态、浏览偏好等。
CookiesessiontokenJWT
mundo.wang的个人博客
10-14 1万+
cookie存储在客户端,请求后,服务器发送回浏览器,浏览器在下次向同一服务器发送请求时,作为参数携带,并发送到服务器上。cookie是一个具体的东西,指的是浏览器实现的一种数据存储功能。cookie是不可跨域的,每个cookie绑定单一的域名。cookie是name=value键值对。session是基于cookie实现的,session存储在服务器端,sessionID 会被存储到客户端的cookie中。
CookieSessionTokenJWT
kagurawill的博客
12-30 1629
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
cookiesessiontokenjwt
星爷的博客
01-14 416
1、首先要知道认证、授权、凭证 认证是需要证明是你本人操作,授权是为了根据不同角色来分配权限,凭证就是认证后获取到的身份证明。 2、cookie是存在浏览器中的,是无状态的协议,所以不能确认访问者的身份。session是存在服务器与客户端会话的状态。但是http是无状态的,所以客户端第一次请求登录后,服务器返回一个sessionid给客户端,客户端保存在cookie中,下次请求的时候在携带sessionid来确认两次请求是同一个用户。 3、上面2这种只适合单机,如果是分布式部署的就需要使用以下二种方式
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 1367
CookieSessionToken详细介绍
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
Cookie通常用于存储用户会话信息,依赖服务器的Session存储,而JWT则将这些信息包含在Token中,减少了服务器的负担。与Cookie相比,JWT是无状态的,更适合于微服务架构,但不适用于需要服务器维持状态的情况。JWT与...
再一次,CookieSessionTokenJWT.xmind
02-05
再一次,CookieSessionTokenJWT.xmind
授权认证登录之 CookieSessionTokenJWT 详解
热门推荐
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
cookiesessiontokenJWT
qq_42215697的博客
09-18 309
http协议 超文本传输协议(HyperText Transfer Protocol,HTTP)一种用于分布式、协作式和超媒体信息系统的应用层协议,是基于 TCP/IP 协议的应用层协议。通常运行于TCP上,指定了客户端发送什么样的请求信息,得到来自服务端返回回来的相对应的响应。 我们知道HTTP是一种无状态的协议,无状态的意思就是说是没有记忆的,前后的HTTP请求是相互独立互不干扰的,也就是说客户端每向服务端发送请求时,后发送的请求无法得知前发送请求所包含的各种状态数据。如果还想要得到前发送请求响应的数据
还分不清 CookieSessionTokenJWT
weixin_43167418的博客
08-20 226
来自:掘金(作者:秋天不落叶)原文链接(底部链接可直达):https://juejin.im/post/6844904034181070861什么是认证(Authentication)通...
前端鉴权:cookiesessiontoken 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 2674
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
cookiesessiontokenJWT
m0_48926849的博客
11-07 611
仅仅是作为个人笔记回顾
CookieSessiontokenJWT
weixin_44120790的博客
08-14 184
Http协议无状态性:不记录用户行为状态,每次请求独立。 而在要求客户端和服务器动态交互的Web应用程序中,就需要保持HTTP连接状态。 Cookie:通过客户端保持状态 用户提交自己个人信息到服务器,服务器返回相应的超文本和个人信息(存在Resonse Header); 客户端收到后会存放在自己这里,然后下次请求把Cookie放到Request Header里向服务器发送请求 Session:通过服务器保持状态 服务端为客户端开辟的空间,保存用于保持状态的信息。 在Java中是通过调用HttpServ
cookie/session/token/jwt
伏颜的博客
07-03 672
cookie session token jwt
一文搞懂CookieSessionTokenJWT
2401_85373732的博客
12-21 994
CookieSession是传统的基于服务器的会话管理机制,而TokenJWT则是更为灵活和安全的身份验证和授权机制,适用于分布式系统和前后端分离的应用场景。JWTToken的一种实现方式,具有更高的可移植性和可扩展性。选择合适的技术可以有效地保护系统稳定运行并提高用户体验。
详细介绍一下session cookie token jwt
08-09
### 回答1: SessionCookieTokenJWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. CookieCookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比SessionCookie,具有更高的安全性和可扩展性。 4. JWTJWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: SessionCookieTokenJWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 CookieCookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。与Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWTJWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:SessionCookieTokenJWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。SessionCookie依赖于服务器端存储用户状态,而TokenJWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码讲故事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值