【每日一问】Cookie、Session 和 Token 有什么区别?

最新推荐文章于 2025-09-27 22:34:27 发布
原创 最新推荐文章于 2025-09-27 22:34:27 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器

本文详细比较了Cookie、Session和Token在存储位置、数据安全、跨域支持和状态管理方面的差异,强调了各自适用的场景:Cookie用于简单状态,Session适合敏感信息,Token用于身份验证和授权。

Cookie、Session 和 Token 通常都是用来保存用户登录信息的技术,但三者有很大的区别,简单来说 Cookie 适用于简单的状态管理,Session 适用于需要保护用户敏感信息的场景,而 Token 适用于状态无关的身份验证和授权。

具体来说,Cookie、Session 和 Token 的区别主要有以下几点区别:

1、存储位置不同:Cookie 存储在客户端,即浏览器中的文本文件,通过在 HTTP 头中传递给服务器来进行通信;Session 是服务器端的存储方式,通常存储在服务器的内存或数据库中;Token 也是存储在客户端,但是通常以加密的方式存储在客户端的 localStorage 或 sessionStorage 中。

2、数据安全性不同:Cookie 存储在客户端,可能会被窃取或篡改,因此对敏感信息的存储需要进行加密处理;Session 存储在服务器端,通过一个 Session ID 在客户端和服务器之间进行关联,可以避免敏感数据直接暴露;Token 通常使用加密算法生成,有效期较短且单向不可逆,可以提供较高的安全性。

3、跨域支持不同:为了防止安全事故,因此 Cookie 是不支持跨域传输的,也就是不同域名下的 Cookie 是不能相互访问的;而 Session 机制通常是通过 Cookie 来保存 Session ID 的,因此 Session ID 默认情况下也是不支持跨域的;但 Token 可以轻松实现跨域,因为 Token 是存储在客户端的 localStorage 或者作为请求头的一部分发送到服务器的,所以不同的域名 Token 信息传输通常是不受影响的。

4、状态管理不同:Cookie 是应用程序通过在客户端存储临时数据,用于实现状态管理的一种机制;Session 是服务器端记录用户状态的方式,服务器会为每个会话分配一个唯一的 Session ID,并将其与用户状态相关联;Token 是一种用于认证和授权的一种机制,通常表示用户的身份信息和权限信息。

最低0.47元/天 解锁文章
CookieSession区别、工作流程是什么?全网最详细!
CYK_byte的博客
11-23 3725
想要了解CookieSession的工作流程,首先需要来了解下什么是Cookie,什么是Session?之后我将会用个用户登录(附加:前端+后端 代码)的栗子,让你通透整个工作流程;sessionId是由服务器生成的个“唯性字符串”,也可以理解为个身份表示,通过这个,服务器就可以识别对应的用户;从session机制的角度来看,这个唯性字符串称为 “sessionId”,但在整个登录流程来看,也可以把这个唯字符称为 “token”;
cookiesessionToken区别?JWT又是什么?单点登录又是什么?头大?快进来看看,文帮你捋清楚~
LYJbao的博客
11-06 1136
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「次登录,全线通用」的能力,叫做「单点登录」。
接口测试经典面试题:Sessioncookietoken有什么区别
hogwarts_2022的博客
07-21 618
HTTP是个没有状态的协议,这种特点带来的好处就是效率较高,但是缺点也非常明显,这个协议本身是不支持网站的关联的,比如https//ceshiren.com/https//ceshiren.com/t/topic/9737/7这两个网站,必须要使用别的方法将它们两个关联起来。当用户访cookie浏览器时,这个服务器就为这个用户产生了唯cookie,并以此作为索引在服务器的后端数据库产生个项目,接着就给客户端的响应报文中添加个叫做Set-cookie的首部行,格式为kv。...
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
文搞懂 CookieSessionToken区别(有点细)
最新发布
技术分享
09-27 801
本文通俗易懂地解释了CookieSessionToken区别及其应用场景。Cookie是存储在客户端的小型文本文件,用于记住登录状态等;Session是服务端维护的用户状态容器,依赖Cookie中的sessionId来识别用户;Token则是加密的客户端认证凭证,支持跨域无状态验证。三者在存储位置、安全性、跨域支持典型应用等方面存在显著差异。实际开发中,应根据需求选择合适的技术:Cookie适合客户端数据存储,Session适合服务端状态管理,而Token则适用于前后端分离分布式系统。
Session, TokenCookie区别
翾的博客
01-24 1213
文章目录1. SessionCookie区别及关联关系1.1. Cookie原理1.2. Session原理1.3. 总结2. token 1. SessionCookie区别及关联关系 cookie数据存放在客户的浏览器上,session数据放在服务器上(不同容器, 不同框架存储的位置不同, 可能是内存, 可能是文件, 也可以持久化储存) 1.1. Cookie原理 Cookie...
sessioncookietoken区别
weixin_42672802的博客
08-26 2744
Cookiesessiontoken区别
SessionCookieToken的主要区别
Guizy
06-19 1855
SessionCookieToken的主要区别 HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份, 也就是说无法知道上次请求的对象是谁, 此时就要使用到会话跟踪技术 什么是cookie cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
接口测试经典面试题:Sessioncookietoken有什么区别?_面试题cookiesession
2401_84141219的博客
05-11 912
与 get、post 区别实战详解 章节相同,为了避免其他因素的干扰,使用 Flask 编写个简单的 demo server(Flask 的安装与启动参考 get、post 区别实战详解 章节),来演示 cookiesession。当用户访cookie 浏览器时,这个服务器就为这个用户产生了唯cookie,并以此作为索引在服务器的后端数据库产生个项目,接着就给客户端的响应报文中添加个叫做 Set-cookie 的首部行,格式为 k:v。demo server 演示代码。
SessionCookieToken区别
jishuxhengjiu的博客
05-23 1117
CookieSession是存储在客户端服务端的认证方式,用于记录用户的身份信息会话信息。Token种服务端无状态的认证方式,通常代表小段字符串,可以存储到cookie里,遂请求起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第次请求时服务器生成个信物,并要求客户端也定个信物。Token种基于临时证书签名的认证方式,适用于REST API的场景。
CookieSessionToken之间的区别是什么?
weixin_43287459的博客
01-15 1241
概念Cookie是由服务器生成并存储在客户端(通常是浏览器)的小段数据,以键值对的形式进行存储,它是无状态协议(HTTP)的补充机制,用来在客户端服务器之间维持状态。每次发送的HTTP请求都会自动携带该域名下存储的Cookie服务器,以便让服务器能够识别客户端的状态。注意并非所有的请求都会携带相同的Cookie,而是每个域名会存储对应的Cookie,因此Cookie符合同源策略,不允许跨域请求。同源策略。
文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 2682
本文详细描述了Cookie,Session,Token的定义、鉴权原理区别cookie是由Web服务器保存在用户浏览器上的小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session服务器端对象,是浏览器服务器会话过程中,服务器分配的块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
Token,CookieSession三者的区别
winkexin的博客
05-12 6240
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是知半解。
CookieSessionToken三者区别
like0801
03-28 686
什么是Cookie?      Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾,带宽等限制不存在了,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态(简称:保活)。        于是,在浏览器发展初期,为了适应用户的需求技术上推出了各种保持 Web 浏览状态的手段,其中就包括了 Cookie 技术。Cookie 在计算机中是个存储在浏览器目录中...
终于有人说明白了sessioncookietoken区别
04-23 1240
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望志同道合的测试人员起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,路走来都离不每个阶段的计划,因为自己喜欢规划总结,
cookiesessiontoken详解区别
qq_37292005的博客
07-07 1730
cookiesessiontoken工作原理、特点、应用场景及三者区别
sessioncookietoken究竟是什么,文搞懂!
lza20001103的博客
01-03 2094
sessioncookietoken究竟是什么,文搞懂!
简述cookiesession以及token区别
mengluzhixing的专栏
03-15 2353
安全性上在每次请求接口时需要带上token参数,cookie不安全,别人可以分析存在本地的cookie并进行cookie欺骗,考虑到安全应当使用session 可以将登录信息等重要信息存放为session,其他信息可以保存在cookiecookie数据存放在客户的浏览器上、session数据放在服务器内存上、token存储在服务器数据库上。token是接口测试时鉴权码,其实也就是个字符串,般情况下登陆后才可以获取到token,相同都是用来签权服务器的,不同的是主要是存储位置存储容量。
WEB常识 五 什么是 Session
W_H_M_2018的博客
09-22 774
什么是 Session session 是另种记录服务器客户端会话状态的机制 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookiesession 认证流程: 用户第次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session 请求返回时将此 Session 的唯标识信息 SessionID 返回给浏览器 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie
CookieSessiontoken分别是什么,有什么区别
06-08
### ### CookieSession Token 的概念及区别 #### ### Cookie 的概念及特点 Cookie种小型文本文件,由服务器生成并发送给用户浏览器。浏览器会将这些 Cookie 保存在本地,并在后续请求中自动将其发送回服务器[^2]。Cookie 可以分为两种类型:会话性 Cookie 持久性 Cookie。会话性 Cookie 仅存储在客户端内存中,关闭浏览器后即失效;而持久性 Cookie 则存储在硬盘上,直到其过期时间到达或被用户手动删除为止[^2]。 Cookie 的主要用途包括保存用户的登录状态、偏好设置等信息。然而,Cookie 存在些限制安全题,例如数量限制(个浏览器最多可创建 300 个 Cookie,每个站点最多 20 个,每个大小不超过 4KB)以及安全性较低的题(容易受到 XSS 攻击等)[^2]。 #### ### Session 的概念及特点 Session服务器端的会话控制机制,用于跟踪用户的会话状态。当用户首次访服务器时,服务器会为该用户创建个唯Session ID,并将其存储在 Cookie 或 URL 参数中。每次用户发送请求时,都会携带这个 Session ID,服务器通过该 ID 来识别用户并恢复其会话数据[^1]。 与 Cookie 不同,Session 的数据存储在服务器端,因此不会占用客户端资源。此外,Session 的安全性较高,因为敏感数据不会直接暴露给客户端。然而,Session 也有缺点,例如会增加服务器的内存负担,特别是在高并发场景下[^1]。 #### ### Token 的概念及特点 Token种基于令牌的身份验证机制,通常用于无状态的应用程序(如 RESTful API)。当用户成功登录后,服务器会生成个加密的 Token 并返回给客户端。客户端在后续请求中需要将 Token 包含在请求头或参数中,服务器通过验证 Token 的合法性来确认用户身份。 Token 的主要优势在于它是种无状态的验证方式,不需要在服务器端存储会话信息,从而减少了对服务器资源的依赖。此外,Token 还支持跨域访,适合分布式系统移动端应用[^1]。 #### ### CookieSession Token区别 | 特性 | Cookie | Session | Token | |------------------|--------------------------------|------------------------------------|-------------------------------------| | 数据存储位置 | 客户端 | 服务器端 | 客户端 | | 数据安全性 | 较低(容易受到 XSS 攻击)[^2] | 较高 | 较高(取决于加密算法) | | 状态管理 | 有状态 | 有状态 | 无状态 | | 跨域支持 | 不支持 | 不支持 | 支持 | | 使用场景 | 简单的会话管理 | 复杂的会话管理 | 分布式系统、移动端应用 | #### ### 示例代码 以下是个使用 JWT(JSON Web Token)进行身份验证的示例: ```python import jwt # 生成 Token def generate_token(user_id): secret_key = "your_secret_key" token = jwt.encode({"user_id": user_id}, secret_key, algorithm="HS256") return token # 验证 Token def verify_token(token): secret_key = "your_secret_key" try: decoded = jwt.decode(token, secret_key, algorithms=["HS256"]) return decoded["user_id"] except jwt.ExpiredSignatureError: return "Token 已过期" except jwt.InvalidTokenError: return "无效的 Token" ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值