本文探讨了Cookie在HTTP无状态设计中的作用,以及Session作为用户身份认证的方式。重点讲解了跨域问题、同源策略、Token(如JWT)的使用,以及如何通过Token解决Cookie限制和CSRF攻击。
参考:一文讲透Token与Cookie、Session的区别 - 知乎 (zhihu.com)
cookie
由于 HTTP 的无状态,引入了 cookie,是通信双方用来传递信息的,保存在client
session
对用户身份的认证机制
cookie是实现session的一种方式,保存在server
如果不能用cookie(比如跨域),那么sessionId无法用cookie传递
什么是跨域?
答:跨域就违反了同源策略,请求了不同的IP或者端口的资源,导致跨域
同源策略:浏览器只能请求 相同协议、IP、端口的资源
token
对用户身份的认证机制
保存在client,和seesion的校验机制不一样
解决跨域不能共享 Cookie 的问题和 CSRF 攻击,不然用cookie包装sessionId也一样效果
JWT是token的一种实现方式
-
header:指定了签名算法
-
payload:可以指定用户 id,过期时间等非敏感数据
-
Signature: 签名,server 根据 header 知道它该用哪种签名算法,再用密钥根据此签名算法对 head + payload 生成签名,这样一个 token 就生成了。
CSRF 攻击:由于相同域名的请求会自动带上 cookie,而 cookie 里带有正常登录用户的 sessionid,类似转账操作在 server 就会成功,会造成极大的安全风险
总结
我们本质上使用的是用于认证用户身份的sessionid或者是token,他们都是对用户身份的认证机制,只不过方式不同
cookie是用来实现session的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
