一篇文章搞懂Cookie/Session/Token三大认证机制(实战踩坑经验分享)

最新推荐文章于 2025-07-07 19:54:31 发布
原创 最新推荐文章于 2025-07-07 19:54:31 发布 · 900 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#经验分享 #其他

文章目录

前言:认证机制进化史

十年前我刚入行时,登录认证还停留在Session+Cookie的黄金搭档时代。直到某次线上事故——服务器集群的Session不同步导致用户反复掉线(说多了都是泪😭)——我才意识到认证机制的选择有多重要!现在各种Token方案满天飞,到底该怎么选?今天就用我的踩坑经验带你看透本质!

一、三位主角的自我介绍

1. Cookie:客户端的小本本

  • 本质:浏览器自动管理的4KB小文件(别指望存高清图!)
  • 经典操作
// 设置登录状态(有效期7天)
document.cookie = "user=老王; expires="+ new Date(Date.now()+7*86400000).toUTCString()
  • 真实案例:某电商网站记住购物车记录,用的就是Cookie存商品ID列表(但价格得实时查库)

2. Session:服务端的保险箱

  • 运行原理:就像超市存包柜!用户拿手环(SessionID),服务器存真实物品(用户数据)
  • 坑点预警:集群部署时Session同步问题(我当年用Redis解决了这个痛点)

3. Token:自给自足的通行证

  • 核心优势:无状态!服务器不用存数据(省内存大户)
  • JWT结构演示
Header(算法类型)  
Payload(用户信息)  
Signature(防篡改签名)
  • 神比喻:Token就像演唱会门票,扫码就能验真伪,不用查座位表

二、工作流程大揭秘

场景1:传统Web应用(Session+Cookie)

  1. 用户登录 → 服务端生成SessionID
  2. 通过Set-Cookie头种下SessionID
  3. 后续请求自动携带Cookie
  4. 服务端查Session存储验证身份

(⚠️注意:禁用Cookie就完蛋!曾经有个项目因此被迫重写登录逻辑)

场景2:前后端分离(Token方案)

  1. 登录成功返回Token(建议放Authorization头)
  2. 前端存储到localStorage或Vuex
  3. 每次请求携带Token
  4. 服务端用签名验证合法性

(真实踩坑:Token过期时间设置太长导致安全风险!)

三、三大机制优缺点PK

CookieSessionToken
存储位置浏览器服务端客户端/服务端
安全性⭐⭐⭐⭐⭐⭐⭐⭐⭐
扩展性⭐⭐⭐⭐⭐⭐⭐
适用场景简单状态保持传统Web应用分布式系统

(个人见解:移动端优先选Token,老系统维护用Session,Cookie只适合非敏感数据)

四、组合拳才是王道!

最佳实践方案:Session+Token二重奏

  1. 用户登录生成Session记录关键信息
  2. 签发短期Token(如2小时)
  3. Token过期后用RefreshToken续期
  4. 敏感操作强制验证Session

(这个方案我在某金融项目用过,完美平衡安全与性能!)

五、三大认知误区

误区1:Token绝对安全?

  • 错!Token泄露等于钥匙丢失(解决方案:HTTPS+短期有效期)

误区2:Cookie只能存字符串?

  • 其实可以存JSON(但要URL编码):
encodeURIComponent(JSON.stringify({user:'老王',role:'admin'}))

误区3:Session必须存在内存?

  • 进阶方案:Redis集群存储(并发量提升10倍不是梦)

六、安全防范红黑榜

✅ 必做清单:

  • Cookie设置HttpOnly和Secure
  • Token加入设备指纹校验
  • SessionID定期轮换

❌ 作死行为:

  • 在URL传递SessionID(会被日志记录!)
  • Token存储到localStorage不加混淆(XSS攻击笑开花)
  • 使用JWT不验证签名(曾经有团队因此被黑)

七、选型决策树

  1. 需要跨域吗? → 是 → Token
  2. 要支持APP吗? → 是 → Token
  3. 旧系统改造? → 是 → Session
  4. 超高并发? → 是 → Token+Redis

(附赠口诀:跨域用Token,传统用Session,简单用Cookie)

总结:没有银弹!

去年给某车企做单点登录系统,同时用到了三种技术:

  • Cookie存语言偏好
  • Session管理权限信息
  • Token实现跨子系统认证

所以别再问哪个最好了!就像问螺丝刀和锤子哪个好用——得看你要拧螺丝还是钉钉子!

zenithdev1
关注
快速理解 session/token/cookie 认证方式
烟云的计算
02-19 6874
目录目录 cookie session tokencookieWeb Application 一般以 HTTP 协议作为传输协议, 但 HTTP 协议是无状态的. 也就是说 server-side 与 client-side 一旦数据交换完毕后,两者之间的连接就会被关闭. client-side 再次发送请求时, 需要建立新的连接, 这就意味着 server-side 和 client-side 两
3-1. SpringBoot项目集成【用户身份认证实战 【技术选型篇】基于SessionToken、JWT怎么选?
天罡gg的专栏
03-29 5371
接下来开始第章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
【PHP基础-8】Cookie机制详解及Cookie身份认证应用案例
m0_64378913的博客
04-06 2918
目录1 Cookie 概述1.1 Cookie 机制1.2 什么是Cookie1.3 Cookie 认证机制1.4 Cookie 属性1.5 Cookie的安全性问题2 Cookie 应用2.1 Cookie 相关操作命令2.2 应用案例实验2.2.1 实验要求2.2.2 实验环境2.2.3 案例代码2.2.4 案例测试3 Cookie攻击与防护3.1 Cookie攻击3.1.1 Cookie捕获/重放3.1.2 恶意 Cookies3.1.3 会话定置3.1.4 CSR
认证与授权之CookieSessionToken、JWT
Herishwater的博客
12-06 766
在互联网应用开发中,主要通过下面几种方式实现授权:SessionCookieToken,本文将详细介绍者间的区别,以及比较火热的JWT是怎么一回事。
cookiesession、tooken
伟庭的博客
07-01 3235
cookiesession、tooken
SessionCookie
一点思考
12-31 512
转载自: https://blog.youkuaiyun.com/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
web应用中的身份认证cookiesessiontoken
yigetutouzai的博客
07-06 1996
HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了CookieCookie实际上是一小段的文本信,Cookies是由服务器产生的。 token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。.........
一文搞懂Cookie+Session,Redis+Token,JWT者的区别
Fatter$hday的博客
05-24 3978
一文搞懂Cookie+Session,Redis+Token,JWT者的区别
常用的认证机制session认证token认证
python全栈
08-13 4911
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3905
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 . Basic Auth 四. jwt token认证 四. 总结 一. 为什
CookieSessionToken者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token者的区别又是什么,又是怎么使用的呢,这个文档跟家详细介绍下者的区别与使用
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 2623
CookieSessionToken 的区别与用途
了解Cookie登录:原理、实践与安全指南
Karka_的博客
10-08 2208
当你首次登录网站时,你会输入用户名和密码。在后台,网站的服务器验证这些凭据是否正确。一旦确认你的身份无误,服务器就会创建一个Cookie,并将其发送到你的浏览器。这了解Cookie登录:原理、实践与安全指南个Cookie包含了一个独特的身份验证令牌,它代表了你的登录会话。而这个包含用户一些信息的小型数据片段,就是Cookie。A1:Cookie登录是一种基于Web的认证机制,它使用小型数据文件(即Cookie)来存储用户的登录信息。
cookiesessiontoken详解和区别
qq_37292005的博客
07-07 1666
cookiesessiontoken工作原理、特点、应用场景及者区别
一文搞懂 CookieSessionToken、JWT 的恩怨情仇
无限大的博客
02-23 915
开发路上总有几个绕不开的「小问题」,今天我们就来盘一盘 Web 开发中的四认证机制
常见的认证机制
qq_42141141的博客
03-19 1814
Java学习笔记 - 常见的认证机制一、HTTP Basic Auth二、Cookie Auth、OAuth四、Token Auth1、Token Auth认证机制2、基于JWT的Token认证机制实现2.1、加密方式2.2、JWT组成   一、HTTP Basic Auth   HTTP Basic Auth 就是每次请求API时都需要提供用户的账号和密码来验证用户身份,是配合 RESTful API 使用的最简单的认证方式(服务端不保存用户状态),但由于有把账号和密码暴露给第方客户端的风险,因此在开
sessioncookietoken的区别?
热门推荐
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken者之间的关系!cookie 有存储小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
Cookiesessiontoken的区别(tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.youkuaiyun.com/weixin_37569048/article/details/86677165
Cookie,Session,Token详解
q123q9的博客
03-16 2796
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的。 同时HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie
绘制认证机制(chookie/sessiontoken)的交互流程图
最新发布
09-06
绘制cookie/sessiontoken认证机制的交互流程图可以借助专业的流程图绘制工具,以下为不同工具绘制的方法: ### 使用Visio绘制 Visio是一款功能强的流程图绘制软件,具有丰富的图形库和模板。 - 打开Visio软件,选择“流程图”模板。 - 从形状库中选取合适的图形来代表不同的元素,如用矩形表示客户端、服务器等,用箭头表示数据或请求的流向。 - 依据cookie/sessiontoken认证机制的交互步骤,使用图形和箭头连接构建流程图。例如,对于cookie认证,客户端发送请求到服务器,服务器通过Set - Cookie头部返回cookie给客户端,后续客户端请求携带cookie,将这些步骤用图形和箭头表示出来。 - 为图形和箭头添加文字说明,解释每个步骤的含义。 - 调整流程图的布局和格式,使其清晰美观。 ### 使用Draw.io绘制 Draw.io是一款在线的流程图绘制工具,无需安装,使用方便。 - 打开Draw.io网站,创建一个新的流程图。 - 在左侧的图形库中找到所需的图形,拖到画布上。 - 按照认证机制的交互逻辑,用线条连接各个图形。比如在token认证中,客户端登录后服务器生成token返回给客户端,客户端后续请求携带token,将这些过程在图中体现。 - 添加文本注释,详细描述每个步骤和元素的功能。 - 利用工具的布局和格式调整功能,优化流程图的外观。 ### 使用Python的`graphviz`库绘制 `graphviz`是一个用于创建图形的Python库。 ```python from graphviz import Digraph # 创建一个有向图 dot = Digraph(comment='Cookie/Session/Token Flowchart', node_attr={'fontname': 'Helvetica,Arial,sans-serif'}, edge_attr={'fontname': 'Helvetica,Arial,sans-serif'}) # 设置图形的分辨率 dot.attr(dpi='300') # 添加节点 dot.node('C', '客户端') dot.node('S', '服务器') # 添加边和标签来表示cookie认证流程 dot.edge('C', 'S', '初始请求') dot.edge('S', 'C', 'Set - Cookie头部返回cookie') dot.edge('C', 'S', '后续请求携带cookie') # 添加边和标签来表示token认证流程 dot.edge('C', 'S', '登录请求') dot.edge('S', 'C', '返回token') dot.edge('C', 'S', '后续请求携带token') # 渲染图形 img_path = 'cookie_session_token_flowchart' dot.render(img_path, format='png', cleanup=True, view=True) ``` 上述代码通过`graphviz`库创建了一个简单的流程图,包含了cookietoken认证的基本流程。代码首先创建一个有向图,然后添加代表客户端和服务器的节点,接着根据认证流程添加边和标签,最后将图形渲染为PNG格式并显示。 ### 相关示例获取 - **在线搜索**:在搜索引擎中输入“cookie/sessiontoken认证机制交互流程图”,可以找到很多相关的示例和教程。 - **技术博客和论坛**:如优快云、博客园等技术社区,有很多开发者分享自己绘制的流程图和相关经验。 - **开源项目**:在GitHub等开源代码托管平台上搜索相关项目,部分项目会附带详细的认证机制流程图。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值