Session、Cookie、token

最新推荐文章于 2024-11-25 10:32:25 发布
转载 最新推荐文章于 2024-11-25 10:32:25 发布 · 136 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/baizhuang/p/11562251.html
文章标签:

#数据结构与算法 #运维 #java

本文深入探讨了Session、Cookie和Token三种会话管理技术的特点与区别,分析了它们在安全性、存储位置、容量限制及应用场景上的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Session

session 的中文翻译的“会话”,当用户打开某个 web  应用时,便与 web 服务产生一次 session ,服务器使用 session 把用户信息临时保存在服务器上,当用户离开网站后,session 被销毁。

这种用户存储方式相对于 cookie 更安全,可能 session 有一个缺陷:如果web 服务器做了负载均衡,那么下一次操作请求到另一台服务器时候,session 会丢失。

二、Cookie

cookie 是保存在本地终端的数据,cookie 由服务器生成,发送给浏览器,浏览器把cookie 以 kv 形式保存在某个目录下的文本文件内,下一次请求同一个网站时会把该cookie 发送给服务器。由于 cookie 是存在客户端的,所以浏览器假如了一些限制确保 cookie 不会被恶意使用,同时不会占用太多磁盘空间,所以每个域的 cookie 数量是有限的

Cookie 的组成有:名称(Key),值(Value),有效域(domain),路径(一般设置为全局“\”),失效时间,安全标志(指定后,cookie 只有在使用 SSL 连接时才发送到服务器(https))

用户登录时产生的cookie:

document.cookie = "id="+result.data['id']+"; path=/";

document.cookie = "name="+result.data['name']+"; path=/";

document.cookie = "avatar="+result.data['avatar']+"; path=/";

使用到cookie时做如下解析:

var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {

    user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];

}

$('#user_name').text(user_info[' name']);

$('#user_avatar').attr("src", user_info[' avatar']);

$('#user_id').val(user_info[' id']);

三、Token

token 的意思是 “令牌”,是用户身份验证的方式,最简单的 token 组成:uid(用户唯一标识)、time(当前时间戳)、sign(签名,由token 的前几位+盐 以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接 token 请求服务器)

还可以把不变的参数也放进 token ,避免多次查库

四、cookie 与 session 的区别

1.cookie 数据存放在客户端的浏览器上,session 数据放在服务器上

2.cookie 不是很安全,别人可以分析存放在本地的cookie 进行 cookie 欺骗,考虑安全应当使用session

3.session 会在一定时间内保存到服务器上,当访问增加,会占用服务器性能,考虑服务器性能方面,应当使用 cookie

4.单个 cookie 保存的数据不能超过 4K,很多浏览器限制一个站点最多保存 20 个cookie

5.登录重要信息放在session 

  其他信息放在 cookie

五、token 与 session 的区别

session 和 oauth token  不矛盾,作为身份认证 token 安全性比session 好,因为每个请求都有签名还能防止监听以及重放攻击,而 session 就必须靠链路层来保障通讯安全。

app 通常用 restful api 与 servlet 打交道,rest 是 stateless的,也就是 app 不需要像 浏览器那样用 cookie 来保存 session ,可以在 app 里嵌入 webkit ,用隐蔽的 browser 来管理cookie session.

   Session 是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓Session 认证只是简单的把User 信息存储到Session 里,因为SID 的不可预测性,暂且认为是安全的。这是一种认证手段。 
而Token ,如果指的是OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对App 。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是唯一的。
不可以转移到其它 App上,也不可以转到其它 用户 上。 转过来说Session 。Session只提供一种简单的认证,即有此 SID,即认为有此 User的全部权利。是需要严格保密的,这个数据应该只保存在站方,
不应该共享给其它网站或者第三方App。 所以简单来说,如果你的用户数据可能需要和第三方共享,或者允许第三方调用 API 接口,用 Token 。如果永远只是自己的网站,自己的 App,用什么就无所谓了。

  token就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,
就会自动调用cookie自动登录用户名;session和cookie差不多,只是session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号.Session的状态是存储在服务器端,客户端只有session id;
而Token的状态是存储在客户端。

 参考:https://blog.youkuaiyun.com/jikeehuang/article/details/51488020

转载于:https://www.cnblogs.com/baizhuang/p/11562251.html

彻底搞懂cookiesessiontoken
南栀的博客
03-21 2358
文章目录前言1. cookie2. session3. token3.1 为什么要使用token3.2 token详解 前言 cookiesessiontoken为了解决什么问题: HTTP是一种无状态的协议,而服务器的业务必须是有状态的。 随着在线购物网站、需要登录的网站等等,面临的问题就是要管理会话。SessionCookieToken等就是来解决这个问题的机制。 鉴权流程图: 根据上图可以看到,从用户请求发起,到服务端完成操作,流程颇多,但是HTTP无状态,我们如何才能详细记录这些
软件测试必会:cookiesessiontoken的区别~
08-13 851
今天就来说说sessioncookietoken这三者之间的关系!最近这仨玩意搞得头有点大🤣 01、为什么会有它们三个、我们都知道 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要服务端通信,都必须重新服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求上一次请求是没有关系的。
session+cookie自动登录代码
08-11
安全简洁的javaweb代码,session+cookie自动登录
session+cookie
weixin_34101229的博客
05-24 178
SessionSession 指的就是用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间。从上述的定义中我们可以看到,Session 实际上是一个特定的时间概念。 一般来说,在网站上某一个页面中的变量(指服务器端变量,下同)是不能在下一页中用的,有了session就好办了。session中注册的变量可以作为全局变量使用。这样我们就...
【Django】session+cookie
chy_sky的博客
11-22 156
https://www.cnblogs.com/sss4/p/7071334.html
网络协议-session+cookie
ଳxin的博客
06-19 227
(1) 当客户端PC的浏览器第一次访问某个web站点资源时, 客户端提交没有带SessionID的请求(请求报文头没有Cookie头域信息)。 而web服务器会检查是否有SessionID过来,没有则创建SessionID,并根据web程序自身定义在请求哪个资源时添加属于当前会话的信息(也可为空), 这个信息列表以SessionID作为标识。然后将SessionID返回给客户端(通过响应报文头的Set-Cookie头域)。 (2) 客户端再次访问同个web站点时, 提交带有SessionID的请
深入理解SessionCookie(全网最全)
2301_79108772的博客
07-15 2651
当用户进行登录的适合,服务端会将登录态信息(文本信息,一般是个json数据)返回给客户端,客户端进行存储这些登录态信息,当下次进行请求服务端接口的时候,会进行携带这些登录态信息。Cookie会被存储到请求标头中,是一个键值对信息文本,多个键值对使用;进行区分。Session时服务端的一种存储机制,用来进行跟踪用户的状态,Session在用户服务器简历连接后创建,并在用户退出或者Session超时后销毁,并且Session默认是依赖于Cookie的(Session可以不依赖于Cookie)。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
从描述中可以知道,文档的目标是帮助应聘者在面试过程中对SessionCookieToken有一个全面的了解,确保他们能够自信地回答面试官的问题,避免面试中遇到相关问题时感到困惑或不自信。 在标签"面试 php session ...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
session&cookie(超详细)
小赵的呢
11-22 289
Conversat Conversat即会话技术, 会话:一次会话中包含多次请求和响应。 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止 功能:在一次会话的范围内的多次请求间,共享数据 方式: 客户端会话技术:Cookie 服务器端会话技术:Session 1.cookie 概念:客户端会话技术,将数据保存到客户端 快速入门: 使用步骤: 创建Cookie对象,绑定数据 new Cookie(String name, String value)
CookieSession详解
吹啊~吹啊~大风吹~~
07-01 268
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么 1.1 Cookie机制 在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同...
Cookie+Session详解
qq_54525448的博客
03-05 2188
在计算机领域中,客户端服务器之间的一次通话被称为会话。当打开浏览器去访问一个地址,请求成功后就意味着开启了会话;会话期间可以多次访问站点内的其他资源;会话技术有两种实现方式:① 客户端会话 – Cookie② 服务器会话 – Session会话的根本目的:跟踪客户信息,保存客户信息实现数据共享;通常用于登录权限验证,以及编码格式设置操作;Java 中提供 Filter 作为过滤器,也是在tomcat 启动后容器初始化时被加载;需要通过。
深入理解Cookie+Session
weixin_45422695的博客
03-10 450
这篇文章让你彻底看懂 Cookie,Session这两者的区别,相信大家看完肯定有收获! 一、Cookie 1991 年 HTTP 0.9 诞生了,当时只是为了满足大家浏览 web 文档的要求 ,所以只有 GET 请求,浏览完了就走了,两个连接之间是没有任何联系的,这也是 HTTP 为无状态的原因,因为它诞生之初就没有这个需求。但随着交互式 Web 的兴起(所谓交互式就是你不光可以浏览,还可以登录,发评论,购物等用户操作的行为),单纯地浏览 web 已经无法满足人们的要求,比如随着网上购物的兴起,需要记录用
CookieSession详解以及结合生成登录效果
申俏雅的博客
10-06 1297
引言 1.Cookie中的数据从哪来数据长啥样? 2.Cookie有什么作用? 3.cookiesession的工作关联? 4.Cookie到哪去? 5.Cookie如何存? 6.Session 7.CookieSession的关联区别 8.通过代码理解 8.1 相关代码 8.2 观察现象 8.3 总结 9.Cookie结合Session实现登录效果 1.前端代码(简易版界面) 2.后端 3.现象 4.小结 get和post的区别在这里有介绍:
session+cookie简单讲解以及持久化登录实现
AKGWSB 's blog
07-05 7729
目录前言持久化登录介绍cookiecookie介绍cookie携带账号密码?cookie存储登录标志?sessionsession简介session的生存周期session存储登录标志?cookie+session存储用户信息以区分用户注销代码实现实现思路登录验证后台程序 loginRecv.php登录成功页面 loginSuccessPage.php跳转页面subPage1.php注销服务程序 logoutRecv.php演示 前言 上次实现了一个最简单的登录功能,用到了mysql和php。【最简单的网页
面试官:Cookie Session 是如何实现联动的?
最新发布
2401_85910670的博客
11-25 1195
在实际开发中,要求服务器是需要有状态的,比如:当用户完成登陆之后,后续再访问这个网站的时候,服务器就能知道这个用户的身份信息了(前提是浏览器没有清除缓存)。只是Session是一种常见的做法,这样的做法的好处就是方便实现“注销操作”,在服务器这边直接就把session中对应的键值对删了就行。这里我们可以看到,在第二次的请求中就自动带了Cookie,而且你会发现此时第二次的请求第一次的响应中的Cookie值是一样的,然后服务器就会根据Cookie里面的。Cookie是由服务器产生的,通过HTTP响应的。
cookiesession的联系和区别
路在脚下
12-26 1062
cookie数据存放在客户的浏览器上,session数据放在服务器上。cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session
对http+session+cookie的一些理解
qq_43701814的博客
06-11 220
1.无状态 HTTP HTTP 的无状态是指 HTTP 协议对事务处理是没有记忆能力的,也就是说服务器不知道客户端 是什么状态。当我们向服务器发送请求后,服务器解析此请求,然后返回对应的响应,服务器 负责完成这个过程,而且这个过程是完全独立的,服务器不会记录前后状态的变化,也就是缺 少状态记录。这意味着如果后续需要处理前面的信息,则必须重传,这导致需要额外传递一些 前面的重复请求,才能获取后续响应...
详细介绍一下session cookie token jwt
08-09
### 回答1: SessionCookieToken、JWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. CookieCookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比SessionCookie,具有更高的安全性和可扩展性。 4. JWT:JWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: SessionCookieToken和JWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 CookieCookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWT:JWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:SessionCookieToken和JWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。SessionCookie依赖于服务器端存储用户状态,而Token和JWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值