Cookie,Session,Token区别详解

已于 2023-08-21 09:53:03 修改
阅读量552 收藏 8
点赞数 23
CC 4.0 BY-SA版权
文章标签: python
于 2023-08-21 09:45:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhang_is_coming/article/details/132401948

一、Cookie

  1. cookie是个非常具体的东西,指的是浏览器里能永久存储的一种数据,仅仅是浏览器实现的一种存储功能。

  2. cookie由服务器生成,发送给浏览器,浏览器把cookie以KV形式保存到某个目录下的文本文件内下一次请求同一网站会把该cookie发给服务器。

  3. 由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以cookie数量是有限的。

二、Session

  1. session从字面上看是“会话”的意思。
  2. 服务器为了区分每个请求的身份,服务器就要给每个客户端分配不同的“身份标识”,客户端每次向服务器发请求的时候都带上“身份标识”。浏览器客户端默认以cookie来保存这个“身份标识”。
  3. 服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全。
  4. 但是session有个缺陷,就是当web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

三、cookie和session的区别

  1. session是存储在服务端,cookie是存储在客户端,session的安全性更高
  2. 获取session的信息是通过存放在会话cookie里的session id获取的。而session是存放在服务器的内存中,所以session里的数据不断增加会造成服务器的负担,所以会把很重要的信息放在session中,次要的放在cookie中。
  3. 当浏览器关闭时,会话cookie消失,session id也随之消失。但session的信息依然存在,只是查不到而已。

四、Token

  1. 在web领域基于token的身份验证随处可见,在大多数的使用Web API的互联网公司中,token是多用户下处理仍证的最佳方式。
  2. token的特性
    • 无状态、可扩展
    • 支持移动设备
    • 跨程序调用
    • 安全

五、认证方式

1.传统方式—基于服务器的验证

  • 由于HTTP协议是无状态的,意味着程序需要验证每一次的请求,从而辨别客户端的身份。
  • 程序通过在服务端存储登陆的用户信息来辨别身份。一般通过存储session来完成。

2.基于服务器验证方式的问题

  • session:每次认证用户发起请求,都需要创建记录来存储信息,请求越多,对内存的开销越大。
  • 可扩展性:由于session存放在服务器内存中,当我们想要增加服务器来解决负载问题时,session里的关键信息会限制我们的扩展。
  • CORS(跨域资源共享):当我们扩展应用程序,让数据能够从不同的设备上访问时,跨域资源的共享会成为一个头疼的问题。在使用Ajax抓取另一个域的资源时(移动端访问我们的API服务器),可能会出现禁止请求。
  • CSRF(跨站请求伪造):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,用户在访问银行网站时,容易受到跨站请求伪造的攻击,并且利用其访问其他的网站。

3.基于Token的验证原理

  • 基于Token的身份验证是无状态的,我们不用即将用户的信息存储在服务器或session中。这种概念解决了服务端存储信息的诸多问题。没有session一位置你的程序可以根据需要去增减机器,而不用担心用户登录与否和在哪里登录。

  • Token身份验证的大致过程:

    1.用户通过用户名和密码发送请求
2.程序验证
3.程序返回一个签名的token给客户端
4.客户端存储token,并且每次请求都要携带token
5.服务端验证token并返回数据

  • 每次请求都需要Token。Token应该在HTTP的投不发送从而保证了HTTP请求无状态。

    需要设置属性:
    Access-Control-Allow-Origin: *
从而让服务器能够接受到来自所有域的请求。
需要注意的是,在ACAO头部指定 * 时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。

  • 实现思路

    1.用户登录校验,校验成功后就返回Token给客户端
2.客户端收到数据后保存在客户端
3.客户端每次访问API是携带Token到服务器
4.服务端采用filter过滤器校验,校验通过返回请求数据,校验失败返回错误码。

六、Token的优势

1.无状态、可扩展

在客户端存储的token是无状态的,并且能够被扩展。基于这种无状态和不存储session信息,负载均衡服务器能够将用户的请求传递到任何一台服务器上,因为服务器与用户信息没有关联。

而在传统方式中,我们必须将请求发送到一台存储了该用户session信息的服务器上(session亲和性),因此用户量大的时候,可能会造成拥堵。

2.安全性

请求发送token而不是cookie,能够防止CSRF(跨站请求伪造)攻击。

即使客户端用的是cookie来存储token,cookie也只是存储机制,不用于认证。而且没有session,让我们不再基于session的进行操作。

Token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token又撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证token无效。

3.可扩展性

使用Tokens能够与其他应用共享权限。例如:博客账号和QQ账号关联当通过一个 第三方平台登录QQ时,我们可以将一个博客发到QQ平台中。

使用token可以给第三方应用程序提供自定义的权限限制。当用户通过第三方应用程序来访问数据时,可以通过建立API,给出具有特殊权限的tokens。

4.多平台与跨域

当我们的应用和服务不断扩大的时候,我们可能需要通过多种不同平台或其他应用来接入我们的服务。可以让我们的API只提供数据,我们也可以从CDN提供服务。做如下配置,可以消除CORS带来的问题。只要用户有一个通过了验证的token,数据和资源就能在任何域上被请求到。

Access-Control-Allow-Origin: *

5.基于标准

最常用的是JSON Web Tokens。

CookieSessionToken详解
千层冷面的博客
08-23 616
CookieSessionToken是Web开发中常用的技术,它们在处理用户状态、身份验证和授权等方面发挥着重要作用。以下将分别介绍它们的异同、使用场景以及在Java和Python常用框架中的体现。
CookieSessionToken解析
深夜无眠的博客
06-05 1181
简而言之,Cookie就是是一些数据,类型为“小型文本文件”,会以key-value的形式存储于电脑上的文本文件中。主要用于存储服务器返回给客服端的信息,然后在客户端中进行保存。在下一次访问该网站时,客户端会将保存的Cookie一同发给服务器,服务器再利用Cookie进行一些操作,比如使用Cookie记录用户的登录状态信息。
一文彻底理解 CookieSessionToken
weixin_37828116的博客
08-27 459
背景知识:Web 发展史 很久很久以前,Web 基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的 HTTP 协议,就是请求加响应,尤其是我不用记住是谁刚刚发了 HTTP 请求,每个请求对我来说都是全新的。这段时间很嗨皮。 但是随着交互式 Web 应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战,因为 H
CookieSessionToken那点事儿
li123128的博客
11-08 173
  1、什么是Cookie?      Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾,带宽等限制不存在了,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态(简称:保活)。      于是,在浏览器发展初期,为了适应用户的需求技术上推出了各种保持 Web 浏览状态的手段,其中就包括了 Cookie 技术。Cookie 在计算机中是个存储在浏览器目...
sa-token关闭控制台banner配置
ihchenchen的博客
11-19 2133
sa-token关闭控制台banner配置,关闭mybatis-plus控制台banner添加配置,关闭springboot控制台banner添加配置,替换springboot的banner
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1761
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
让你正式认识cookiesessiontoken三者的作用
vivlol918的博客
07-05 672
Cookie是一种在Web浏览器中存储数据的小文件。它由服务器发送给客户端,并在客户端的浏览器中进行存储。Cookie常用于在不同的HTTP请求之间传递数据,以便跟踪用户的会话信息、个性化设置和访问权限等。
cookiesessiontoken详解区别
qq_37292005的博客
07-07 1076
cookiesessiontoken工作原理、特点、应用场景及三者区别
SessionCookieToken区别详解
weixin_46403305的博客
08-15 5147
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器浏览器cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
CookieSessionToken、JWT详解
本人程序员,不需要做任何吹嘘,只是实在写点程序,写点文档,熟悉各类主流框架,SSM,SpringBoot,Flask,Djiango,Mysql,Sqlite,VUE,Uniapp等,各类程序设计专家,优质作者
05-23 866
CookieSessionToken、JWT
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Cookie,Session,Token详解.pdf
07-30
根据提供的文件信息,以下是对文件《Cookie,Session,Token详解.pdf》中知识点的详细解读: 1. Cookie的相关知识 1.1 Cookie不是缓存。它是由服务器创建并存储在客户端的一小段文本信息,通常以字典(键值对)的...
深入解析CookieSession以及Token原理
码星人
04-05 1333
深入解析Cookie, SessionToken机制
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1931
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
Sa-token简单介绍和基本使用
热门推荐
weixin_43967582的博客
12-21 4万+
Sa-Token 官方文档 官方文档写的很好,推荐去参考 1.概述 1.1 Sa-Token介绍 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题。 功能简单示例 Sa-Token 的 API 设计非常简单,有多简单呢?以登录认证为例,你只需要: // 在登录时写入当前会话的账号id StpUtil.login(10001); // 然后在需要校验登录处调用以下方法: // 如
专业Python爬虫实战教程:逆向加密接口验证码突破完整案例
最新发布
ZTLJQ的博客
07-29 377
本文介绍了如何逆向分析并爬取一个采用JavaScript混淆和加密签名的内部测试系统API。主要步骤包括:1)分析网页结构,定位加密签名函数;2)使用Python还原JavaScript签名算法;3)实现验证码识别预处理;4)模拟登录流程获取会话;5)构造签名参数调用数据接口。案例综合运用了JavaScript逆向、加密算法还原、验证码识别等技术,通过requests.Session维护会话状态,最终实现了一个完整的自动化爬虫系统。
力扣30 天 Pandas 挑战(3)---数据操作
qq_66660756的博客
07-29 728
本文介绍了6道力扣Pandas简单题的解题思路:1) 177.第N高的薪水 - 通过去重排序获取第N高工资;2) 176.第二高薪水 - 类似177题的简化版;3) 184.部门最高薪员工 - 使用分组和合并查询部门最高薪;4) 178.分数排名 - 使用dense_rank()实现连续排名;5) 196.删除重复邮箱 - 通过排序和去重保留最小id记录;6) 1795.产品价格重构 - 使用melt()将宽表转为长表。这些题目涵盖了Pandas数据处理的基本操作,适合初学者练习数据清洗、转换和分析。
Redis 键值对操作详解Python 实现指南
AI浩
07-29 522
场景推荐操作替代方案添加小数据SETHSET(对象)添加大数据HSET/MSET分批次添加添加临时数据SETEX删除小数据DELETEUNLINK删除大数据UNLINK无批量操作管道 + MSET/UNLINK单独命令添加操作使用set()添加单个键值对使用mset()批量添加多个键值对使用setex()添加带过期时间的键值对删除操作优先使用unlink()进行删除(尤其大型数据)仅在需要立即释放内存时使用delete()批量删除时结合管道提高效率。
Python】绘制小提琴、箱线和散点的组合图
a11113112的博客
07-25 464
可根据需求修改各图的配色。
cookiesessiontoken详解
06-28
### 回答1: CookieSessionToken是三种常见的Web应用程序认证和授权机制。 Cookie是客户端存储认证和授权信息的一种机制,用于在浏览器和服务器之间进行状态管理。当用户首次登录时,服务器会在响应中设置一个包含认证和授权信息的Cookie,然后浏览器会将这个Cookie存储起来,并在下一次请求时将其一起发送给服务器,以便服务器能够识别用户。 Session是在服务器端存储认证和授权信息的一种机制,用于跟踪用户在Web应用程序中的活动。当用户首次访问Web应用程序时,服务器会为其创建一个Session,然后在后续请求中使用这个Session来管理用户状态。Session通常通过Cookie浏览器和服务器之间交互。 Token是一种轻量级的认证和授权机制,用于在不使用CookieSession的情况下在浏览器和服务器之间进行状态管理。当用户登录成功时,服务器会生成一个Token,并将其发送给浏览器浏览器在后续请求中将该Token带上,以便服务器能够识别用户并进行授权。Token通常使用JWT(JSON Web Token)格式进行编码和传输。 ### 回答2: cookiesessiontoken是Web开发中常用的三种身份验证状态管理的技术,它们具有各自的特点和优缺点。 cookie是一种浏览器保存在用户计算机中的小文件,可以储存一些用户信息和网站状态。它的主要作用是让网站在用户多次访问时可以识别用户,实现用户身份验证和存储一些数据。有的站点还会使用cookie来追踪用户行为,以便提供更好的个性化服务。但是,cookie只能保存较小的数据量,并且存在一些安全风险,比如cookie可被拦截和篡改带来的安全问题。 session是在服务器端保存的用户信息,它使用一个服务器端生成的唯一标识符(SessionID)来标识用户,以便让服务器知道它们是同一个用户。一般情况下,SessionID是保存在cookie中的。用户在访问网站时,服务器会自动创建一个该用户对应的session,将SessionID写入cookie,并将用户的状态信息存储在服务器的内存或磁盘上,以便后续使用。相比于cookiesession不能被篡改,避免了安全问题。但是,session存储在服务器端,会增加服务器的负担,而且如果用户访问量很大,服务器存储session数据可能会消耗很多内存和磁盘空间。 token是一种基于JSON Web Token(JWT)或其他加密算法的令牌机制,可以用于在客户端和服务器之间进行身份验证和状态管理。它的工作方式cookiesession不同,它不需要在服务器端存储用户信息,客户端只需要将token每个请求一起发送给服务器即可。通过加密算法可以确保token具有不可伪造和可信任的安全性。token相比于cookiesession有以下优点:1)减轻服务器负担,不需要在服务器端存储状态信息;2)支持跨域访问;3)可以灵活调整token的过期时间和访问权限。但是,token也存在一些安全问题,比如token可以被窃取和泄露,因此需要加强安全措施,比如使用HTTPS等安全通讯协议。 综上所述,cookiesessiontoken各自具有不同的优缺点和应用场景,开发人员需要根据实际情况选择合适的技术来实现身份验证和状态管理。 ### 回答3: 1. Cookie Cookie(HTTP Cookie)是由Web服务器发送到用户浏览器,存储在用户本地计算机上的小文件。当浏览器再次加载该站点时,它会将Cookie发送回服务器。主要用于记录Web站点用户的活动、登录状态、购物车、喜好设置等。 Cookie的特点: - 存储在用户本地计算机上,大小约为4KB; - 可以由Web服务器设置失效时间; - 每个Cookie只能存储一种信息,因此需要多个Cookie来存储不同的信息。 2. Session Session(会话)是一种在Web服务器上存储状态的机制。当用户访问Web站点时,Web服务器为该用户创建一个Session对象。该对象由唯一的Session ID(会话ID)和相关的信息组成,如用户ID、存储在服务器上的数据等。 Session的特点: - 存储在Web服务器上,可存储大量数据; - 可以设置失效时间; - 每个用户只有一个Session对象,可以存储多种信息。 3. Token Token(令牌)是在用户登录后由Web服务器生成的一段随机字符串。服务器将令牌发送给客户端(如浏览器),客户端每次请求操作时需要携带这个令牌。服务器会验证令牌的有效性并返回对应的结果。常用于身份验证和访问控制。 Token的特点: - 存储在客户端,大小不固定; - 没有失效时间,只有服务器失效(如修改密码)时才会失效; - 可以根据需要设置不同权限的Token,实现不同级别的访问控制。 总体来说,CookieSessionToken都是记录Web站点用户状态的机制。CookieSession存储在服务器和客户端之间,主要用于记录用户的活动和状态;而Token则存储在客户端,用于身份验证和访问控制。不同的机制有不同的特点和应用场景,需要根据实际情况选用合适的方式。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值