Cookie,Session,token

最新推荐文章于 2025-04-27 22:48:25 发布
最新推荐文章于 2025-04-27 22:48:25 发布
阅读量59 收藏
点赞数
文章标签: java
原文链接:https://juejin.cn/post/6844904034181070861
版权
本文详细阐述了Session认证的过程,包括服务器创建Session并返回SessionID,浏览器存储Cookie进行后续请求的验证。同时对比了Cookie和Session的安全性、存取值类型、有效期及存储大小的差异。此外,还介绍了Token的身份验证流程,从用户登录到服务端签发Token,再到客户端携带Token请求资源的整个过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • session 认证流程:

    • 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session
    • 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器
    • 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名
    • 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。

根据以上流程可知,SessionID 是连接 Cookie 和 Session 的一道桥梁,大部分系统也是根据此原理来验证用户登录状态。

Cookie 和 Session 的区别

  • 安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
  • 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
  • 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
  • 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源

token 的身份验证流程:

 

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端
  4. 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据

weird_9
关注
Cookie Session Token 鉴权的区别和原理
m0_65431718的博客
07-07 1101
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Cookie Session Token
SZ170110231的博客
07-22 739
Cookie Session Token
sessioncookietoken
m0_69777632的博客
09-12 1510
特性CookieSessionJWT存储位置客户端(浏览器)服务器端客户端(通常存储在浏览器的localStorage、sessionStorage或cookie中)数据类型主要为字符串(可序列化复杂对象)任意数据类型JSON格式,包含Header、Payload和Signature大小限制一般不超过4KB(不同浏览器可能有所不同)无明显限制,但受服务器内存和配置影响取决于编码后的长度,但通常较小生命周期可设置过期时间,默认为浏览器关闭时失效。
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 4231
Cookie Session Token讲解及用法
SessionCookieToken
yyzz7579的博客
10-12 973
token不同,token是开发者为了防范csrf而特别设计的令牌,浏览器不会自动添加到headers里,攻击者也无法访问用户的token,所以提交的表单无法通过服务器过滤,也就无法形成攻击。服务器端接受客户端请求后,建立一个session,并发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部。该头部包含了sessionId。现在大多都是Session + Cookie,但是只用session不用cookie,或是只用cookie,不用session在理论上都可以保持会话状态。
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3894
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
浅析cookie session token
lbw_15189736971的博客
08-28 3424
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 1110
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
CookieSessionToken
啊松同学的博客
10-31 965
Cookie、Sessioin和Token总结
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 969
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
基于vue框架的电信用户业务管理系统的设计与实现8ly70(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
h2345678的博客
04-25 742
可以控制字体、颜色、间距、布局等视觉表现。[6]师明,曾丹.基于Vue.js和Spring Boot的校招日记系统[J].工业控制计算机,2020,33(01):95-97.[7]胡雅丽.基于Vue.js的“微商城”前端开发设计与实现[J].电子技术与软件工程,2020(20):34-35.[3]张智强,孙福兆,余健等.mysql课程设计案例精编[J].清华大学出版社,2019(8):67-234。[8]李广宏.vue.js前端应用技术分析[J].中国新通信,2019,21(20):115.
MyBatis 类型处理器(TypeHandler)注册与映射机制:JsonListTypeHandler和JsonListTypeHandler注册时机
最新发布
2301_76541209的博客
04-27 808
下面几种机制会让你的最新版本的 MyBatis-Plus starter 会把类路径下所有带这类注解的自动注册进,所以即使你不在里再手动,MyBatis-Plus 启动时也会把它们扫描进来。如果你的实体里写了那 MyBatis 在构建映射的时候会直接 new 这个来处理该字段,不会再走默认的。就算真没有任何自定义 Handler,JDBC 驱动也会把你传进去的字符串(比如你在 Mapper XML 里写#{skills},skills.toString() 恰好是["a","b"]
Java 中对象的重载和方法的构造入门知识点总结
2402_84764726的博客
04-23 595
方法重载是指在同一个类中,可以有多个方法具有相同的名称,但参数列表不同。参数列表的不同可以体现在参数的类型、个数或顺序上。方法的返回类型和访问修饰符不影响方法重载。构造方法是一种特殊的方法,用于创建对象并初始化对象的属性。构造方法的名称必须与类名相同,并且没有返回类型(包括void方法重载和构造方法是 Java 面向对象编程中非常重要的概念。方法重载通过相同的方法名处理不同的参数,提高了代码的可读性和灵活性;构造方法用于创建对象并初始化对象的属性,构造方法的重载可以根据不同的需求提供多种对象初始化方式。
MySQL索引优化、SQL分析与运行原理 - Java架构师面试实战
南客先生的博客
04-25 617
面试官:马架构,请问您对MySQL的B+树索引有什么理解?马架构:B+树是一种平衡多路查找树,所有的数据节点都存储在叶子节点上。相比于B树,B+树更适合范围查询和排序操作。面试官:那么覆盖索引是什么?马架构:覆盖索引是指查询的数据可以通过索引直接获取,而无需回表读取数据。面试官:如何选择合适的索引?马架构:需要根据查询条件、数据分布和查询频率进行综合评估。面试官:请解释SQL执行计划中的`EXPLAIN`关键字的作用。马架构:`EXPLAIN`可以帮助我们分析SQL的执行过程,包括使用的索引、扫描行数等信息
深度解析@SneakyThrows注解:原理、应用与最佳实践
hi星尘的博客
04-24 888
是Lombok项目提供的一个实用注解,它允许开发者在代码中"偷偷地"抛出受检异常(checked exceptions),而无需在方法签名中显式声明。这个注解的名称"Sneaky"(偷偷摸摸的)非常形象地描述了它的行为特点。是一个强大但有争议的注解,它提供了处理受检异常的新思路,但也带来了类型安全和代码可维护性方面的挑战。合理使用可以使代码更简洁,特别是在Lambda表达式和特定接口实现场景中。然而,在业务关键代码和公共API中,传统的异常处理方式通常更为合适。最终建议:将。
房屋租赁管理系统
牧小七的博客
04-23 260
系统分为2种角色,管理员、租客。管理员功能:首页、房源管理、日程管理、租赁管理、申请管理、报障管理、租金管理、账户管理。租客功能:首页、房源管理、租赁管理、申请管理、报障管理、租金管理。通用功能:登录、退出、修改个人信息、修改个人密码。
OpenFeign服务接口调用
m0_74808313的博客
04-27 759
在使用Spring Cloud开发微服务应用时,可使用RestTemplate+Ribbon的方式实现服务接口的远程调用。但这种方式需要填写远程地址,并配置相关参数,那么有没有更简单的方式呢?还可以使用OpenFeign来实现服务接口的远程调用。OpenFeign是一个声明式的HTTP客户端,可以在程序中像调用本地方法一样调用服务接口,并且支持负载均衡。
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值