面试题--Cookie、Session、Token的区别

最新推荐文章于 2024-09-19 20:53:02 发布
最新推荐文章于 2024-09-19 20:53:02 发布
阅读量1.1k 收藏 7
点赞数
分类专栏: 面试题总结 文章标签: java 面试 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43441509/article/details/120858625
版权
本文详细分析了Cookie和Session的区别,包括它们的存储位置、存储容量、安全性、生命周期等,并通过Java代码展示了如何创建和设置Cookie与Session。此外,还探讨了分布式环境下的Session管理和跨域问题,以及Cookie的安全隐患。最后提到了Token作为无状态授权的解决方案,适用于无状态应用和跨端共享。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. Cookie,Session他们之间的区别?

参考掘金好文

关于cookie和session的分析:

​ 先说说背景,了解什么是cookie和session,为什么需要cookie和session。

​ http是无状态协议,就是说服务端对每一次请求都是无记忆的,因此服务端就不知道,这个请求的用户登录没有?,有没有访问权限?。因此cookie和session就是用来记录用户信息进行会话跟踪,从而让服务端区别是哪个用户发来的请求的。当客户端第一次请求服务端时,服务端就会生成一个cookie和session,将sessio保存在服务器中,将cookie添加到http响应报文中返回给客户端,后续客户端每次对服务端进行请求时都会带上sessionID,服务端通过sessionID区分不同用户发送的请求。

简单理解cookie和session就是两个用于存放用户信息的数据结构,一个保存在客户端,一个保存在服务端。cookie可以由服务端和客户端生成,session只能由客户端生成,两者配合共同完成记录会话信息的功能。

http响应报文的首部行

Set-Cookie = xxxx sessionID + cookie创建信息

两者对比:

回答角度cookiesession
存储位置保存在客户端保存在服务端
存储数据容量<= 4kb无限制,但会占用服务端内存资源,一般不存储太多
存储的时长可以长期保存关闭浏览器超过一定时间(30分钟)就会自动删除
两者的安全性保存在服务端相对更安全,不存在信息泄露风险保存在客户端,cookie可能被窃取导致信息泄露
是否占用服务端资源保存在客户端,不占用服务端资源保存在服务端,占用资源
存储的数据类型只能保存字符串类型任意类型
创建方可以由客户端发起创建,也可以由前端发起创建只能由服务端创建

如何在Java中创建和设置Cookie和Session?

  • 写入cookie --> http响应报文,set-cookie字段写入cookie数据到浏览器
    • 编写一个Controller,加入HttpServletResponse response 参数
    • new 一个Cookie,设置相关属性
    • 将cookie实例添加到response中即可
  • 读取cookie
    • 编写一个Controller,加入HttpServletRequest request 参数
    • 通过 request.getCookies() 获取所有该域名下的cookies
    • 遍历cookies通过比较cookie.getName() 查找到指定cookie
  • 同理,通过request.getSession() 可以获得HttpSession对象。
@GetMapping("/goodsList")
public void getGoodsList(HttpServletRequest request, HttpServletResponse response) {

    Cookie cookie = new Cookie("cookieName","cookieValue");
    cookie.setHttpOnly(true); // 只允许服务端修改
    cookie.setMaxAge(60*10);  // 过期时间一小时
    cookie.setValue("newValue") //重新设置cookei值
    response.addCookie(cookie);
}

@GetMapping("/goodsList")
public void getGoodsList(HttpServletRequest request, HttpServletResponse response) {
    
	//HttpSession session = request.getSession();
    //session.setAttribute("key","value");
    //session.setAttribute("key2","value2");
    Cookie[] cookies = request.getCookies(); // 获取所有cookie
    for (Cookie cookie : cookies) {
        cookie.getName(); // 查找到指定cookie
    }
}

关于cookie和session的补充

  • 做分布式集群需要对session做分布式session共享(存到redis中去),否则会导致在机器A上的session在机器B上失效。
  • 跨域时,当后端项目向浏览器写入cookie时,前端项目协议、域名、端口和后端接口的协议、域名、端口必须相同时才能写到浏览器
  • 浏览器禁用cookie-session机制,手动传递sessionID,URL重写
  • cookie无法跨域共享问题?–》token

参考>>

2. Token是什么?

另一种授权登录方案,主要用于无状态应用,非浏览器应用。。。

  • token是代表用户身份的令牌,通常客户端在登录时就发起申请由服务端进行授权签发,里面存放着一些关于用户的合法信息,用于判断请求是否合法(已登录),哪个用户发送的请求
  • 用户在登录时通过验证后获得由服务端签发的token,由服务端将用户信息加密后写入到token中,因此token中的加密信息都是合法的,可以使用JJWT依赖完成以上操作。
  • 每次请求服务端时,服务端都会对用户携带的token合法性进行验证,有效即可获得token中的信息,进而判断是哪个用户发送的请求。
  • 与浏览器隐私策略无关

核心信息:

  • token由服务端进行签发
  • 服务端可以自由写入数据到token中
  • 可以设置token的过期时间
  • token不依赖于浏览器,可以让一套API跨端共用(用在小程序,安卓应用,IOS,桌面应用)
  • JJWT可选择各种各样的加密算法,例如HS-512等安全的加密算法
Python高频面试题4 - SessionCookieToken 核心区别与技术对比
孤寒者的博客
04-26 6296
Python高频面试题4 - SessionCookieToken 核心区别与技术对比
面试题:说说 CookieSessionToken、JWT?
xuxu96
12-03 690
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)互联网中的认证:用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
一次搞明白 SessionCookieToken面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
Session,Token相关区别
weixin_30677617的博客
10-29 642
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求和上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。 2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将session...
面试系列:cookiesessiontoken区别
IT教育任姐姐的博客
11-23 1078
软件测试是一项复杂而又系统的工程,从界面、到数据请求的组织形式、到通信协议,到传输过程、到服务器响应、到响应内容、到界面展示,测试人员都需要知道,在前面的时候,凯哥说了测试工程师如何定位软件的缺陷属于前端还是后端的问题,这一次,凯哥详细介绍另一个测试工程师面试中被经常问到的问题:接口测试中cookiesessiontoken练习和区别的问题。其实也不仅仅是接口测试中需要知道和了解,测试就应该知道和了解。本身这东西很是稀松平常,但是刚转行的测试新手遇到面试官这种问题的时候,还是会显得很慌,希望本文给你..
一次搞明白 SessionCookieToken面试问题全稿定
软件自动化测试技术交流、资源分享
07-07 456
session的中⽂翻译是“会话”,当⽤户打开某个web应⽤时,便与web服务器产⽣⼀次session。服务器使⽤session把⽤户的信息临时保存在了服务器上,⽤户离开⽹站后session会被销毁。这种⽤户信息存储⽅式相对cookie来说更安全,可是session有⼀个缺陷:如果web服务器 做了负载均衡,那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。...
面试官:说说 CookieToken区别
m0_67698950的博客
07-14 392
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie,有时也用其复数形式 Cookies。类型为小型文本文件,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端
接口测试经典面试题Sessioncookietoken有什么区别?_面试题cookiesession
2401_84141219的博客
05-11 836
与 get、post 区别实战详解 章节相同,为了避免其他因素的干扰,使用 Flask 编写一个简单的 demo server(Flask 的安装与启动参考 get、post 区别实战详解 章节),来演示 cookiesession。当用户访问带 cookie 浏览器时,这个服务器就为这个用户产生了唯一的 cookie,并以此作为索引在服务器的后端数据库产生一个项目,接着就给客户端的响应报文中添加一个叫做 Set-cookie 的首部行,格式为 k:v。demo server 演示代码。
关于面试所提问的token
weixin_45355998的博客
03-13 4199
什么是Token? token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度...
面试题】深入理解CookieSessionToken区别
金鳞踏雨
11-19 1608
客户端使用用户名和密码请求登录。 服务端收到请求,验证用户名和密码。 验证成功后,服务端会生成一个token(存在redis中),然后把这个token发送给客户端。 客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。 客户端每次向服务端发送请求的时候都需要带上服务端发给的token。 服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。(如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身
终于有人说清楚了CookieSessionToken区别。详解,面试题
分享测试知识
06-10 1096
众所周知,我们访问网页一般都是使用http协议,而http协议的每一次访问都是无状态的。 何为无状态?就是这一次请求和上一次请求是没有任何关系的、互不认识的、没有关联的。这种无状态的好处就是快速,坏处就是无法把两次请求关联起来。CookieSessionToken就是用来做持久化处理的,目的就是让客户端和服务端互相认识,将两次请求关联起来。 Cookie是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。Cookie由服务器生成,通过响应头Set-Cooki
接口测试经典面试题Sessioncookietoken有什么区别
霍格沃兹测试学院的博客
08-04 197
HTTP是一个没有状态的协议,这种特点带来的好处就是效率较高,但是缺点也非常明显,这个协议本身是不支持网站的关联的,比如https://ceshiren.com/和https://ceshiren.com/t/topic/9737/7这两个网站,必须要使用别的方法将它们两个关联起来。那就是sessioncookietokensession 即会话,是一种持久网络协议,起到了在用户端和服务器端创建关联,从而交换数据包的作用。......
TokenSession有什么区别面试官满意的答案
分享软件测试技术和学习方法
08-11 719
在接口的响应结果中,经常会出现类似这样的返回值。{}往往需要在访问下一个接口时传递 token 数据。所以 token 本质上就是用户信息通过编码转化成另一种形态得到 token, 再通过 token 解码得到用户数据。......
面试常问|sessiontokencookiesessionstorage,localstorage的区别
nicotine12333的博客
05-27 480
sessiontokencookiesessionstorage,localstorage的区别
前端应该学习的 Token 登录认证知识,前端面试题合集
2401_84092068的博客
04-05 810
核心竞争力,怎么才能提高呢?成年人想要改变生活,逆转状态?那就开始学习吧~万事开头难,但是程序员这一条路坚持几年后发展空间还是非常大的,一切重在坚持。为了帮助大家更好更高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。
一次搞明白 SessionCookieToken面试问题全搞定
m0_58026506的博客
07-06 581
sessionsession的中⽂翻译是“会话”,当⽤户打开某个web应⽤时,便与web服务器产⽣⼀次session。服务器使⽤session把⽤户的信息临时保存在了服务器上,⽤户离开⽹站后session会被销毁。这种⽤户信息存储⽅式相对cookie来说更安全,可是session有⼀个缺陷:如果web服务器 做了负载均衡,那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。 cookiecookie是保存在本地终端的数据。cookie由服务器⽣成,发送给浏览器,浏览器把cookie以kv形式
程序员面试题之聊下Token,这种no-session的方式作为用户账号的验证,所以对cookiesessiontoken做一下对比(文中提到的token指jwt token
凯歌技术控团队
07-12 526
sessiontoken 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已(一个保存在 server,通过在 redis 等中间件获取来校验,一个保存在 client,通过签名校验的方式来校验),多数场景上使用 session 会更合理,但如果在单点登录,一次性命令认证上使用 token 会更合适,最好在不同的业务场景中合理选型,才能达到事半功倍的效果。巨人的肩膀。
前端面试题——token安全问题处理与大数据列表展示
最新发布
警警的博客
09-19 1693
长时间保存token安全问题设置、10万数据列表如何不卡顿展示(虚拟列表、分页)
前端面试题CookieToken区别与应用场景
"这篇文档主要讨论了前端面试中常见的技术问题,特别是关于`cookie`和`token`的区别,这是理解Web应用身份验证机制的关键知识点。文档指出,现代前端工程师需要具备广泛的技能,包括移动端、HTTP网络和Node.js等方面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值