http请求中token和cookie有什么区别?&& 连环问:session和JWT那个更好?&& 连环问:如何实现SSO单点登录?

原创 已于 2023-08-24 10:07:23 修改 · 219 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #网络协议 #网络 #前端

于 2023-08-23 22:24:21 首次发布
本文探讨了HTTP请求中的Cookie与Token的区别,包括它们的使用场景、优缺点。Cookie用于登录验证,受限于跨域限制,而Token(如JWT)不占用服务端内存,但存在安全风险。对于SSO单点登录,当主域名相同时,可通过共享Cookie实现,否则需采用特定的SSO技术方案或OAuth2.0。

参考地址:SameSite cookies explained

cookie:

1. HTTP无状态,每次请求都要带cookie,以帮助识别身份

2. 服务端也可以向客户端set-cookie, cookie大小限制4kb

3. 默认有跨域限制:不可跨域共享、传递cookie

cookie本地存储:

1. HTML5之前 cookie 常被用于本地存储

2. HTML5 之后推荐使用 localStorage 和 sessionStroage

现代浏览器开始禁止第三方 cookie

1.和跨域限制不同。这里是:禁止网页引入的第三方 js 设置 cookie

(解释下,比如个人网站,上销售各种东西,还想增加收入,之后引入了第三方js,可以设置cookie;可以记录下当前用户的cookie)

2. 打击第三方广告,保护用户隐私

3. 新增属性SameSite: Strict / Lax / None; 值可自己选择  

cookie 和 session

1. cookie用于登录验证,存储用户标识(如userId)

最低0.47元/天 解锁文章
Java实习模拟面试之HTTP请求报文:从结构到方法的深度解析
吾为热爱计科,致力于知识分享的践行者,此博客是我在这条道路上留下的足迹。
08-24 341
好的,面试官。HTTP请求报文是客户端(如浏览器、App)向服务器发送请求时所遵循的文本格式规范。掌握了请求报文的三大部分——请求行(方法、路径、版本)、请求头(附加信息)请求体(提交数据)。深入理解了GET与POST在语义、数据位置、安全性、缓存等方面的本质区别,并拓展了解PUTDELETEHEADOPTIONSPATCH等方法。认识到HTTP请求-响应模型,了解了响应报文的结构状态码的分类与含义(1xx-5xx)。
Java实习模拟面试:Cookie机制深度解析,你能答到第几层?
吾为热爱计科,致力于知识分享的践行者,此博客是我在这条道路上留下的足迹。
08-07 796
我回答好的,面试官。Cookie 是服务器发送到用户浏览器并保存在本地的一小段数据。当下次用户访同一网站时,浏览器会自动将Cookie发送回服务器。这样,服务器就能识别用户,实现“有状态”的会话管理。用户第一次访服务器,服务器生成Cookie(比如),通过响应头Set-Cookie发送给浏览器。浏览器收到响应后,将Cookie存储在本地(内存或磁盘)。后续每次请求该域名下的资源时,浏览器自动在请求头中添加。服务器通过解析该Cookie,识别用户身份。在Java中,我们通常使用。
一文详解Token,Session,CookieJWT区别
loseyourself94的博客
04-06 1275
一文详解Token,Session,CookieJWT区别
Java面试-分布式 Session 解决方案:Redis、TokenJWT
热门推荐
千淘万漉虽辛苦,吹尽狂沙始到金
09-30 1万+
《Java分布式会话三大解决方案全解析》深入探讨了在分布式系统中管理用户会话的核心技术。文章对比分析了Redis集中式SessionToken令牌JWT无状态认证三种方案: Redis Session通过将会话数据集中存储,实现跨服务共享,但依赖中间件; Token方案采用服务端存储的令牌机制,兼具灵活性可控性; JWT基于自包含令牌实现无状态认证,适合跨域场景但难以主动失效。 文章包含10+架构图解、6个代码示例12道面试题,全面剖析了各方案的适用场景、性能差异安全考量,为开发者提供分布式会话管
退出登录时如何借助外力使JWT令牌失效?
码猿技术专栏
04-21 200
但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。黑名单的逻辑也非常简单:注销时,将JWT放入redis中,并且设置过期时间为JWT的过期时间;白名单的逻辑很简单:认证通过时,将JWT存入redis中,注销时,将JWT从redis中移出。用JWT就因为它的无状态性,这时候又要保存它的状态?逻辑很简单,直接将退出登录的JWT令牌的jti设置到Redis中,过期时间设置为JWT过期时间即可。思想很简单,JWT既然是无状态的,只能借助Redis记录它的状态,这样才能达到使其失效的目的。
Java面试-JWT(JSON Web Token)结构与安全性分析
千淘万漉虽辛苦,吹尽狂沙始到金
09-30 1万+
摘要: 《Java面试200》系列聚焦JWT安全机制,深入解析其结构(Header、Payload、Signature)与签名算法(HMAC/RSA/ECDSA)。通过代码演示手动验证JWT,并揭露四大高危漏洞:none算法攻击、密钥混淆、弱密钥破解及过期时间绕过,提出十大防御实践。文章结合真实案例与攻击模拟,帮助开发者掌握JWT安全命门,避免身份伪造风险,适用于面试准备与实战防护。(149字) 关键词: JWT安全、签名机制、漏洞攻防、身份验证、面试真题
面试连环炮之分布式事务分布式会话
专注于后端开发,时常接触大数据 、人工智能等
01-22 172
欣然 java架构交流群:473984645 分布式事务 面试题 分布式事务了解吗?你们是如何解决分布式事务题的? 面试官心理分析 只要聊到你做了分布式系统,必分布式事务,你对分布式事务一无所知的话,确实会很坑,你起码得知道有哪些方案,一般怎么来做,每个方案的优缺点是什么。 现在面试,分布式系统成了标配,而分布式系统带来的分布式事务也成了标配了。因为你做系统肯定要用事务吧,如果是分布式系统,肯定要用分布式事务吧。先不说你搞过没有,起码你得明白有哪几种方案,每种方案可能有啥坑?比如 TCC
javascript常见100|前端基础知识|ajax-fetch-axios-区别请用 XMLHttpRequestfetch 实现 ajax节流防抖px em rem vw/箭头函数的缺点
VAN
04-01 1395
HTML CSS JS HTTP 等基础知识是前端面试的第一步,基础知识不过关将直接被拒。本章将通过多个面试题,讲解前端常考的基础知识面试题,同时复习一些重要的知识点。
Java面试-如何设计一个高可用的登录系统?
千淘万漉虽辛苦,吹尽狂沙始到金
10-05 1万+
《Java面试200》系列带来高可用登录系统设计全解析,涵盖认证流程、安全策略与架构实现。文章从需求分析入手,探讨分布式架构设计、JWT会话管理、密码加密及防暴力破解方案,并附带Spring Security+JWT实战代码。适合开发者系统掌握登录系统核心要点,从容应对大厂面试场景。
Java实习模拟面试之安全基石:设计并落地用户认证授权技术方案
吾为热爱计科,致力于知识分享的践行者,此博客是我在这条道路上留下的足迹。
09-11 674
JWT的解析、验证逻辑封装在中,保持配置类简洁。通过这场模拟面试,我们构建了一个安全、现代的认证授权方案。从选择组合,到理解无状态与有状态的权衡,再到解决Token主动失效这一核心难题,每一个环节都体现了对Web安全的深刻理解。作为Java实习生,能够设计并落地一套完整的安全方案,展现了你对系统安全、主流框架工程实践的综合能力。记住,安全无小事,认证是门槛,授权是护栏。掌握这些技能,将使你的应用在上线时更加自信可靠。
urllib3.util.retry.Retry 是 Python HTTP 客户端库 urllib3 中的一个核心组件,用于实现智能的请求重试机制
m0_73161433的博客
12-11 425
通过封装复杂的重试逻辑(如退避等待、错误类型过滤、幂等性控制),显著简化了 HTTP 请求的容错处理。它是构建高可靠网络应用的核心工具,尤其在微服务、分布式系统中不可或缺。默认只重试幂等 HTTP 方法(GET/HEAD/PUT/DELETE)。若需重试 POST 等非幂等方法,需显式设置。它在网络请求失败时自动重试请求,提高应用程序的健壮性容错能力。当请求因临时性题(如网络波动、服务器过载、HTTP 5xx 错误等)失败时,对象会自动重新发送请求,避免手动处理重试逻辑。(确保接口支持幂等)。
【JavaWeb】HTTP简介
qq_43494013的博客
12-11 591
【JavaWeb】HTTP简介
谈谈我对HTTP的理解
2301_80163888的博客
12-14 1512
HTTP是互联网基础协议,采用"请求-响应"无状态模式。主要版本演进包括:HTTP/0.9(纯文本)、HTTP/1.0(引入头信息)、HTTP/1.1(持久连接/缓存)、HTTP/2(二进制帧/多路复用)、HTTP/3(基于QUIC)。通信包含请求报文(方法/路径/头)响应报文(状态码/数据),支持HTTPS加密。应用场景涵盖网页浏览、API交互、文件传输等。协议发展持续优化性能、安全性扩展性,是Web开发的核心基础。
配置FTP目录文件以http网址方式访并下载
weixin_43206676的博客
12-13 332
本文介绍了使用Nginx配置文件服务器并进行访控制的方法。主要内容包括:1)在Linux服务器上安装配置Nginx;2)两种账号认证方案(标准配置路径用户目录安全路径);3)Nginx配置文件示例,支持目录浏览、文件下载访控制;4)验证步骤注意事项。特别强调Nginx启动账号需与授权账号一致,所有相关文件夹文件都需要正确授权。通过基本认证保护文件访,并提供了curl测试方法验证配置。
http的content-text对照表
加油!
12-11 706
接口返回 JSON → 用(推荐)或;返回纯文本 → 用text/plain;;返回图片 / 二进制文件 → 用对应 image/* 或 application/octet-stream(不加 charset)。
从客户端的HTTP 请求到后端 .NET 8 API的整个生命周期
Impossible==I'm possible.
12-11 239
本文详细介绍了HTTP请求在.NET 8 API中的完整生命周期。从客户端发起请求开始,经过服务器接收、路由匹配、中间件处理,到控制器执行业务逻辑并生成响应,最后返回给客户端。重点阐述了请求处理流程中的10个关键环节,包括路由选择、中间件过滤、服务调用响应生成等核心阶段,展示了.NET 8 API处理请求的完整过程及其可监控调试特性。
从客户端的HTTP 请求到后端 .NET 8 API的整个生命周期 - 处理请求响应的主要方式
Impossible==I'm possible.
12-11 442
本文介绍了在.NET 8中处理HTTP请求响应的主要方法。重点讲解了通过控制器(Controllers)定义动作方法来处理GET/POST请求,包括参数绑定响应类型;同时说明了中间件(Middleware)的配置使用,用于处理请求管道中的逻辑。文章还涵盖了异常处理状态码返回等常见场景,为.NET 8开发者提供了处理Web请求的实用指南。
HTTP一些题的解答(接上篇)
最新发布
2301_80163888的博客
12-14 780
HTTP/1.x在弱网环境下可能比HTTP/2表现更好的原因在于其多连接策略能规避TCP队头阻塞题。HTTP/2的多路复用机制虽然高效,但在高丢包率环境下,单个TCP连接的数据包丢失会阻塞所有请求,而HTTP/1.x的多个独立连接可将丢包影响限制在单个请求内。此外,HTTP/2的复杂特性(如头部压缩流优先级)在弱网中可能适得其反,而HTTP/1.x的简单结构更稳健。HTTP/2并非强制单连接,但推荐单连接以实现最佳性能,仅在特殊情况下使用多连接。其多路复用通过二进制帧、流标识单连接共享实现请求并行处理
HTTP:什么是跨源资源共享(CORS)?详解:控制“跨源访”】
Hey_Coder
12-10 1139
跨源资源共享(CORS)是一种基于HTTP头的安全机制,用于控制不同源之间的资源访。浏览器默认阻止跨源请求,但通过CORS机制,服务器可以设置响应头(如Access-Control-Allow-Origin)来允许特定源的访请求。CORS将请求分为简单请求非简单请求,非简单请求需先通过OPTIONS预检请求确认服务器许可。服务器需针对附带凭证的请求返回特定源而非通配符响应。整个过程由浏览器自动完成,确保跨源数据传输的安全性。
CookieSessionTokenJWT分别是什么?
07-14
Cookie 是客户端存储的小型数据,Session 是服务器端的状态管理机制,Token JWT 则是无状态的身份验证机制。Session 需要服务器维护状态,而 Token JWT 不需要。 - **安全性** Cookie 可以通过设置 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值