cookie和token的五点区别

最新推荐文章于 2025-09-27 22:34:27 发布

转载最新推荐文章于 2025-09-27 22:34:27 发布 · 485 阅读

4 ·

CC 4.0 BY-SA版权

原文链接：https://segmentfault.com/a/1190000013258488

本文对比了Token和Cookie在身份验证中的使用方式。Token由应用管理，可在无状态服务器上使用，扩展性强，适用于移动端；而Cookie依赖于服务器会话，安全性较低。Token的优势在于其可避免CSRF攻击，并能轻松在多个服务间共享。

①：token和cookie一样都是首次登陆时，由服务器下发，都是当交互时进行验证的功能，作用都是为无状态的HTTP提供的持久机制。

②：token存在哪儿都行，localstorage或者cookie。

③：token和cookie举例，token就是说你告诉我你是谁就可以。

cookie 举例：服务员看你的身份证，给你一个编号，以后，进行任何操作，都出示编号后服务员去看查你是谁。
token  举例：直接给服务员看自己身份证

④：对于token而言，服务器不需要去查看你是谁，不需要保存你的会话。当用户logout的时候cookie和服务器的session都会注销；但是当logout时候token只是注销浏览器信息，不查库。

⑤：token优势在于，token由于服务器端不存储会话，所以可扩展性强，token还可用于APP中。

总结：

Token 完全由应用管理，所以它可以避开同源策略
Token 可以避免 CSRF 攻击
Token 可以是无状态的，可以在多个服务间共享

如果你的用户数据可能需要和第三方共享，或者允许第三方调用 API 接口，用 Token，如果之上自己的那就无所谓了。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34343689

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Cookie和token的区别

m0_45309753的博客

03-25

4150

文章目录前言一、基于cookie的身份验证二、基于token的身份验证前言 HTTP是一种“无状态”协议，它的每个请求都是完全独立的，每个请求中包含了处理这个请求所需的完整的数据，发送请求不会涉及到状态变更。举个例子：你第一次去A店买了苹果，然后你第二次去买苹果时你和老板说我上次来过，能便宜点不，他说他不认识你，并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果，具体是谁他不知道。所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露，许多Web应用程序的安全和正常运行都

Session, Token和Cookie的区别

翾的博客

01-24

1200

文章目录1. Session 与 Cookie的区别及关联关系1.1. Cookie原理1.2. Session原理1.3. 总结2. token 1. Session 与 Cookie的区别及关联关系 cookie数据存放在客户的浏览器上，session数据放在服务器上(不同容器, 不同框架存储的位置不同, 可能是内存, 可能是文件, 也可以持久化储存) 1.1. Cookie原理 Cookie...

参与评论您还未登录，请先登录后发表或查看评论

Cookie、Session和Token三者的区别及使用

11-13

测试的过程中，经常会有这样的疑惑，什么是Cookie，什么是Session什么是Token，三者的区别又是什么，又是怎么使用的呢，这个文档跟大家详细介绍下三者的区别与使用

一文搞懂 Cookie、Session、Token 的区别(有点细)

最新发布

技术分享

09-27

792

本文通俗易懂地解释了Cookie、Session和Token的区别及其应用场景。Cookie是存储在客户端的小型文本文件，用于记住登录状态等；Session是服务端维护的用户状态容器，依赖Cookie中的sessionId来识别用户；Token则是加密的客户端认证凭证，支持跨域和无状态验证。三者在存储位置、安全性、跨域支持和典型应用等方面存在显著差异。实际开发中，应根据需求选择合适的技术：Cookie适合客户端数据存储，Session适合服务端状态管理，而Token则适用于前后端分离和分布式系统。

Cookie 和 Token 的区别

qq_44376306的博客

04-14

1564

通俗地讲就是验证当前用户的身份，证明“你是你自己”（比如：你每天上下班打卡，都需要通过指纹打卡，当你的指纹和系统里录入的指纹相匹配时，就打卡成功）用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码，就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候，APP 会询问是否允许授予权限（访问相册、地理位置等权限）你在访问微信小程序时，当登录时，小程序会询问是否允许授予权限（获取昵称、头像、地区、性别等个人信息）cookie。

cookie和token的区别

qq_54247497的博客

06-28

1934

cookie和token区别：cookie和token的共同点都是用来判断用户是否“已登录”，至于判断具体是哪个用户，服务器的做法不一样

Session、Cookie和Token的区别

jishuxhengjiu的博客

05-23

1106

Cookie和Session是存储在客户端和服务端的认证方式，用于记录用户的身份信息和会话信息。Token是一种服务端无状态的认证方式，通常代表一小段字符串，可以存储到cookie里，遂请求一起发过去，也可以存在服务器中。Cookie和Session是Session+Cookie的组合方式，用于在第一次请求时服务器生成一个信物，并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式，适用于REST API的场景。

彻底搞清session、cookie、token的区别

weixin_70787959的博客

06-20

915

摘要： HTTP协议的无状态性导致服务器无法识别同一客户端的多次请求，为解决这一问题，Cookie、Session和Token应运而生。Cookie存储于客户端（≤4KB），自动携带于请求头，但存在安全与跨域问题；Session存储于服务端，通过SessionID与Cookie关联，安全性高但消耗服务器资源；Token（含Header、Payload、Signature）仅存储用户ID，无需服务器存储，安全性强且支持跨域，但需频繁查询数据库。三者各具优劣：Session以空间换时间，Token以时间换空间，

Cookie Session Token 鉴权的区别和原理

m0_65431718的博客

07-07

1273

令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名，以哈希算法压缩成一定长的十六进制字符串）。从本质上讲 JWT 也是一种 token，只不过 JWT 是被大家广泛接受的标准。JWT 即：Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。

token与cookie区别

标准都是留给不爱的人，爱的本质是自由意志的沉沦

07-13

1938

总而言之，Token 和 Cookie 在身份验证和授权方面都有其特定的用途和优势。选择使用哪种机制取决于具体的应用场景和安全需求。

Cookie和Token的区别详解

深耕嵌入式领用多年，致力于分享嵌入式领域技术!

11-02

792

Cookie和Token的区别详解

Cookie和Token的区别

热门推荐

小男孩tom的博客

11-23

1万+

两者的共同点都是用来判断用户是否“已登录”，至于判断具体是哪个用户，服务器的做法不一样： Cookie 验证是服务器在用户登录时生成用户唯一标识即 Sessionid 并以映射表的形式保存在该台服务器的内存上（一般做法，也可以保存在其他地方），接着将该 Sessionid 通过 set-cookie 头部传给客户端浏览器保存到 cookie，下次同源请求浏览器会自动带上 Sessionid 给服务器，服务器再去查对应的用户 id。 Token 验证是服务器在用户登录时使用密钥对用户信息进

区别———token 与 cookie

qq_45828448的博客

10-10

983

token 与 cookie的区别 token和cookie一样都是首次登陆时，由服务器下发，都是当交互时进行验证的功能，作用都是为无状态的HTTP提供的持久机制。 token存在哪儿都行，localstorage或者cookie。 token和cookie举例，token就是说你告诉我你是谁就可以。 cookie 举例：服务员看你的身份证，给你一个编号，以后，进行任何操作，都出示编号后服务员去看查你是谁。 token 举例：直接给服务员看自己身份证对于token而言，服务器不需要去查

Cookie和Token的区别?

renqq001的博客

11-27

757

Cookie和Token的区别?

Cookie 和 Token 的区别？

a2986467829的博客

06-27

7348

说到 cookie、token 应该没有人不知道的吧，而如果说让大家说出 cookie、token 到底是什么关系，大家能说出来吗，往往这种看似简单的东西，一到关键的场面，就很容易让我们陷入尴尬，明明知道是什么，却解释不清楚，被 Pass 后一脸冤枉，因此，本篇我们就来稍微回顾下 cookie 相关的基础知识，给自己充充电吧！！！！Cookie ...

cookie和token区别

u012963112的博客

04-29

5988

HTTP协议本身是无状态的，所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后，会在服务器存一个session，同时发送给客户端一个cookie，这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储用户再进行请求操作时，需要带上cookie，在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时，都需要带上一个token token的存在形式有很多种，header/requestbody/url 都可以这个token只需要存在

Session、Cookie和Token的主要区别

08-07

### Session、Cookie 和 Token 的区别与比较在 Web 开发中，Session、Cookie 和 Token 是用于处理身份认证和状态管理的关键机制。它们各自有不同的应用场景、实现方式和特点。 #### 存储位置与安全性 - **Cookie** 存储在客户端（通常是浏览器），主要用于存储用户偏好、会话标识符以及跟踪用户行为等。由于 Cookie 在每次 HTTP 请求时都会被发送到服务器，因此需要特别注意其安全性设置，例如使用 `HttpOnly` 和 `Secure` 标志来防止 XSS 和中间人攻击 [^1]。 - **Session** 信息存储在服务器端，通常通过一个唯一的 Session ID 来标识用户的会话状态。Session ID 一般通过 Cookie 存储在客户端，但实际的会话数据保留在服务器上，这使得 Session 相对更安全，因为敏感信息不会暴露给客户端。 - **Token**（如 JWT）通常存储在客户端，可以是 Cookie、LocalStorage 或其他客户端存储方式。Token 是自包含的，携带了用户信息和签名，服务器通过验证签名来确认 Token 的有效性。这种机制使得 Token 具有较高的安全性，并且适合在分布式系统中使用 [^1]。 #### 跨域能力 - **Cookie** 的跨域能力受限，通常只能在同一个域名下传递，除非使用特定的配置（如 CORS）来允许跨域请求 [^2]。 - **Session** 完全依赖于服务器，并且与特定的域名绑定，因此不支持跨域认证。 - **Token** 天然支持跨域认证，因为 Token 可以通过 HTTP 头部或其他方式传递，适用于构建分布式微服务架构。 #### 性能考虑 - 使用 **Token** 可以减少服务器存储会话状态的需求，从而提高性能和扩展性。服务器不需要维护会话的状态，只需要验证 Token 的有效性即可。 - **Session** 需要服务器为每个用户维护会话数据，这可能会增加服务器的内存消耗，尤其是在用户数量庞大的情况下。 - **Cookie** 的容量较小，每个 Cookie 约为 4KB，因此不适合存储大量数据 [^1]。 #### 用途和实现机制 - **Cookie** 通常用于客户端存储少量数据，例如用户的偏好设置或会话标识符。 - **Session** 用于在服务器端保持用户状态，例如用户的登录状态或购物车内容 [^1]。 - **Token** 主要用于身份验证和跨服务的信息传递，特别是在需要无状态和高扩展性的场景中。 #### 示例代码以下是一个简单的 Python 示例，展示了如何使用 Flask 框架来处理 Cookie 和 Session： ```python from flask import Flask, request, session, make_response app = Flask(__name__) app.secret_key = 'your_secret_key' @app.route('/set_cookie') def set_cookie(): resp = make_response("Cookie set") resp.set_cookie('user', 'JohnDoe') return resp @app.route('/get_cookie') def get_cookie(): user = request.cookies.get('user') return f"User from cookie: {user}" @app.route('/set_session') def set_session(): session['user'] = 'JohnDoe' return "Session set" @app.route('/get_session') def get_session(): user = session.get('user') return f"User from session: {user}" if __name__ == '__main__': app.run(debug=True) ``` ###