Cookie/JWT的区别和联系

最新推荐文章于 2025-06-18 19:56:24 发布
最新推荐文章于 2025-06-18 19:56:24 发布
阅读量3.4k 收藏 15
点赞数 5
CC 4.0 BY-SA版权
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43393670/article/details/110091360
本文详细介绍了Cookie和JWT(JSON Web Token)的区别和联系。Cookie是保存在用户浏览器上的小数据块,常用于会话跟踪,但存在性能开销和安全性问题。JWT则是一种流行的认证授权机制,将用户信息加密在token中,服务器通过验证签名确认用户身份,适用于无状态的API。JWT的特点包括可跨域、无需服务器存储用户信息,但也存在无法撤销和信息泄露的风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Cookie/JWT的区别和联系

1、cookie

1.1、什么是cookie

​ cookie是保存在用户浏览器端,用户名和密码等明文信息

1.2、cookie特点

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。
  • HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
  • cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
  • cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
  • Cookie 曾一度用于客户端数据的存储,因当时并没有其它合适的存储办法而作为唯一的存储手段,但现在随着现代浏览器开始支持各种各样的存储方式,Cookie 渐渐被淘汰。由于服务器指定 Cookie 后,浏览器的每次请求都会携带 Cookie 数据,会带来额外的性能开销(尤其是在移动环境下)。新的浏览器API已经允许开发者直接将数据存储到本地,如使用 Web storage API (本地存储和会话存储)或 IndexedDB

1.3、cookie举例

  1. 李四总是使用同台PC访问Internet
  2. 他首次访问1个电子商务网站
  3. 当他最初发出HTTP请求访问该站点时,该站点创 建一个唯一的 ID,并在后端数据库创建一个响应于 该ID表项

浅谈Cookie原理

可以看到流程:

  1. 第一次请求,服务端生成cookie,在响应报文中返回。浏览器保存
  2. 下一次请求,用户请求报文中带着cookie信息,服务端就能识别用户。

2、JWT

2.1、什么是JWT

  • JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。

  • 是一种认证授权机制。

  • 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
    可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。

2.2、JWT数据结构

  1. 第一部分:JWT头,是一个描述JWT元数据的JSON对象

  • base64UrlEncode(header) —>字符串

    JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

    {
	"alg": "HS256",
	"typ": "JWT"
}

    (1)、alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256)。

    (2)、typ属性表示令牌的类型,JWT令牌统一写为JWT。

    (3)、最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

  1. 第二部分: 有效载荷(七个默认字段+自定义私有字段)

  • base64UrlEncode(payload) —>字符串

    (1)、有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据,JWT指定七个默认字段供选择。

    iss: 发行人

    exp: 到期时间

    sub: 主题

    aud:用户

    nbf: 在此之前不可用

    iat: 发布时间

    jti: JWT ID 用于标识JWT

    (2)、除以上默认字段外,我们还可以自定义私有字段,如下例:

    {
	"sub": "123456",
	"name": "chongc",
	"admin": true
}

    注意:默认情况下JWT是未加密的,任何人都可解读其内容,因此不要构建隐私字段,存放保密信息,以防信息泄露。JSON对象也是用Base64 URL算法转换为字符串保存。

  1. 第三部分:签名哈希

  • 签名=HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload) ,secret)

    (1)、签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

    (2)、首先,需要指定一个密码(secret),该密码仅仅为保存在服务器中,并且不能向用户公开。

    (3)、然后,使用标头中指定的签名算法,(默认情况下HMAC SHA256),根据以下公式生成签名。

    (4)、HMACSHA256(base64UrlEncode(hesder) + “.” + base64UrlEncode(payload), secret)

    (5)、在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成了JWT对象。

2.3、JWT 鉴权原理

preview

2.4、JWT 核心

  • 1)给用户颁发的token值相当于一把锁,服务器端的秘钥相当于一把钥匙
  • 2)每次客户端请求都会携带这把锁,服务器端用秘钥去开这把锁,若果无法打开就证明是伪造的

2.5、JWT特点

  • 1、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权 限,一旦JWT签发,在有效期内将会一直有效。
  • 2、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。
  • 3、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行 传输。
  • 4、JWT不仅可用于认证,还可用于信息交换,善用JWT有助于减少服务器请求数据库的次数。
网络安全-Cookie JWT
Saki_Python的博客
02-19 1073
✊不积跬步,无以至千里;不积小流,无以成江海都是的一部分,因此属于前端开发需要了解的基础知识。都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于,但也有一些关键的区别
Gin框架dgrijalva/jwt-go实例(JWT用户认证)
owenzhang的博客
11-02 1123
这是我参与11月更文挑战的第1天,活动详情查看:2021最后一次更文挑战 1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户服务器之间传递安全可靠的信息, 一个JWT由三部分组成, Header头部,Claims载荷,Signature签名 JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款, 不是随便一张纸随便写...
CookieJWT区别
weixin_73922932的博客
03-06 805
Cookies是一种更传统的技术,通常用于跟踪用户的会话状态。它们在客户端存储,具有较长的生命周期,并可以通过HttpOnly标志提高安全性。JWT是一种较新的技术,提供了一种更灵活、紧凑且跨域兼容的身份验证方法。它们在客户端存储,具有较短的生命周期,并通过签名确保安全性。CookiesJSON Web Tokens(JWT)是两种常用于Web应用程序中管理用户身份验证会话信息的技术。尽管它们都可以用于跟踪用户身份,但它们在存储位置、结构安全性方面存在一些关键差异。
JWT基础概念详解
最新发布
持续更新中!!!
06-18 815
JWT(JSON Web Token)是一种流行的跨域认证解决方案,采用基于Token的无状态认证机制。它由Header、PayloadSignature三部分组成,通过数字签名确保数据安全。JWT的优势在于简单易用、安全可靠、支持跨域移动端,特别适合微服务架构。但存在注销后仍有效、续签等问题,常见解决方案包括黑名单机制、双Token策略等。尽管JWT有诸多优点,仍需根据项目需求合理选择认证方案,不能盲目推崇。其核心在于签名安全,密钥保管尤为重要。
cookiejwt解析
web$-小白
07-26 860
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
cookie, session jwt区别(非原创)
weixin_44655002的博客
08-09 625
什么是JWT(主要介绍JWT) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
全网最细总结-Seesion,Cookie以及JWT区别
qq_42898642的博客
06-14 1190
全网最详细,关于session,cookie,token的用户认证的原理与区别
JWT-auth的原理以及laravel中tymon/jwt-auth的安装使用
热门推荐
caozhennan824的博客
06-20 1万+
引言 最近后端准备用laravel来编写一个微信小程序的后端,那么首先涉及到的就是用户登录授权访问后端api的逻辑实现,之前还自己封装点token验证的类来处理登录状态,但是一接触laravel,就知道了tymon/jwt-auth的鼎鼎大名。那就必须来探究学习一下了。 一.JWT auth知识及原理 想在laravel中使用tymon/jwt-auth之前,有些概念我们必须要学习。下面我将用自己的语言来描述一下。 1.什么是所谓的token? 我们都知道http协议是无状态的协议,unstate,这
实现.NET 5 MVC权限验证:基于角色与Cookie/JWT的授权
4. **使用JWT令牌**:JWT是一种轻量级的认证机制,项目中通过创建一个单独的API端点来处理JWT令牌的生成验证。这样的设计使得API能够通过令牌来识别授权用户,同时便于跨服务的认证。 5. **按用户覆盖权限**:...
Cookie、Session、JWT的详解
miaozy
04-10 1672
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器浏览器的会话跟踪,就需要使用 c...
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
总结来说,Cookie、SessionJWT都是处理身份验证会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统无状态认证中表现出色。理解它们之间的差异...
JWTSessionCookie
N_a_n的博客
04-13 737
文章目录会话管理cookieSessionsessioncookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
一文详解Token,Session,CookieJWT区别
loseyourself94的博客
04-06 1114
一文详解Token,Session,CookieJWT区别
session、token、cookieJWT区别一定要懂
weixin_45709829的博客
04-07 6035
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 2038
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
Jwt、Session、Cookie
m0_50985216的博客
07-10 532
JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。:包含令牌的元数据,如令牌的类型(JWT签名算法(如HMAC SHA256或RSA)。:包含要传递的信息,如用户ID、角色、权限等。:使用头部载荷的Base64编码字符串以及一个密钥(secret)进行签名计算,以确保信息传输的安全性。文件中,配置JWT的相关参数,如密钥(Secret)、颁发者(Issuer)受众(Audience)。
JWTcookietoken的区别
微微一笑满城空
08-10 9125
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
Cookie、Session、Token、JWT之间的区别
liuguang212的博客
06-29 1321
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登录
讲讲 Cookie、Session、Token、JWT之间的区别
weixin_44388697的博客
11-01 251
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值