cookie+session和token

最新推荐文章于 2025-12-02 21:20:38 发布
原创 最新推荐文章于 2025-12-02 21:20:38 发布 · 406 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #session #cookie #jwt

本文介绍了session和JWT两种会话管理机制,从Cookie的明文存储问题发展到session的安全性提升,再到JWT的出现以解决分布式存储时的鉴权问题,强调了JWT的加密和签名特性。

总结说在前面:

  • session:起源于服务端,保存在服务端(服务器或者数据库),通过cookie传递给用户,用户每一次发送HTTP请求的时候,通过验证cookie中的session-id来验证用户身份。
  • jwt(json web token):起源于服务端,保存在浏览器(cookie或者storage),和session一样,用户每一次发送HTTP请求的时候,携带token,通过算法来验证token的正确性。

一开始的cookie通过明文存储username和password,然后传递给服务器,但是这种方式可以将数据传递给服务器,也可以被黑客拦截。

所以session出现了,session-id是一段字符串,被保存在服务器和浏览器中,每一次通过比对和算法验证,来验证用户身份。然而,虽然不是明文传输了,但是session-id一样可以被黑客获得。当然,相对之前的cookie,安全性没事提高了一些的。

随着用户量增多,数据量也增大了。服务器存储不下,这么多的session-id了。一开始是想要使用分布式存储,也就是一台机器放不下的数据,我就多拿几台机器来存储。但是,如果我拿着一个session-id去请求一个没有存储我这个session-id的服务器的话,就会”鉴权“失败。

因此,jwt(json web token)出现了,jwt有三部分组成:【加密算法.携带数据.签名】,这些数据被base64编码之后进行发送。(注意:base64编码可以被双向加解密,所以相当于明文发送)这些数据会被保存在浏览器中,每一次发送给服务器的时候,只需要验证签名是否相同即可。

登录凭证(cookie+sessionToken令牌)
贤蛋大眼萌
05-26 2488
登录凭证(cookie+sessionToken令牌) 认识cookie Cookie(复数形态Cookies),又称为“小甜饼”。类型为“小型文本文件,某些网站为了辨别用户身份而存储 在用户本地终端(Client Side)上的数据。 浏览器会在特定的情况下携带上cookie来发送请求,我们可以通过cookie来获取一些信息; Cookie总是保存在客户端中,按在客户端中的存储位置,Cookie可以分为内存Cookie硬盘Cookie。 内存Cookie由浏览器维护,保存在内存中,浏览器
Session+Cookie+Token
luoyuhhh的博客
03-21 1206
快速掌握Session , Cookie 以及 Token
登陆状态cookie+sessiontoken的区别
Harden3的博客
02-25 992
前端开发登录状态的保持,主要有两种方法:cookie+session token技术 登录状态保持,起源于http的无状态,无记忆 1. 最早的时候,web的作用就是网页的浏览。 服务器只用提供简单的网页浏览器操作即可,不用记住刚刚谁发了请求,更没有登录,注册之类的操作 2. http设计之初就是无状态的 3. http无状态: http不会记住每一次的请求 就跟公交车司机不会记住乘客一...
一文必懂cookie+sessiontoken区别用法
weixin_45629623的博客
08-16 4218
首先要明白cookie+sessiontoken。是两套东西,并且session不是前端存储的session 什么是session+cookie? seesion+cookie 举例:第一次请求时候,服务器生成一个信物,并要求客户端也定一个信物。每次请求时候你都带上信物,你我信物一比对,欧了。信物有过期时间。服务器会生成一个信物储物柜(占空间),用来存取信物(cookie),本质是空间换时间,时间即没有计算耗时。 什么是token? token 举例:一开始登录给你一个暗号,定一套密钥,下次你发起
Session+cookie+token
懒起来
08-22 954
Session+cookie+token
CookieSession Token 详解
weixin_47242663的博客
07-22 684
CookieSessionToken是三种常见的Web认证机制。Cookie存储在客户端,通过HTTP头传输,适合存储简单用户数据但安全性较低。Session将数据存储在服务端,通过Session ID关联,安全性更高但增加服务器负担。Token(如JWT)是无状态方案,客户端存储包含用户信息的签名令牌,适合分布式系统但无法提前废止。三者各具特点:Cookie适合简单状态维护,Session适用于传统Web应用,Token更适合现代API服务。安全实践建议包括设置HttpOnly/Secure标志、合理
登录状态保持(cookie+sessiontoken
LAM1006_csdn的博客
09-23 6046
http设计之初,登录状态保持,就是无状态的,这段时间业务逻辑也非常简单,随着互联网时代的来临,用户量的增加,每次登录却无法状态保持,先出现了cookie,但是cookie存储在客户端的浏览器上,并不安全,于是出现了cookie+session的登录保持状态。 1.cookie+session机制 服务端登录的时候,给分配一个session用于存储数据,同时将sessionID返回给浏览器,浏览器通过cookiesessionID存储起来,下次访问时携带上,服务端就可以通过sessionID来确定用.
cookie+session token的区别
liyanhecsdn的博客
01-10 730
1.session:session是需要服务器端存储,浪费空间,当用户量太大,无法集群,需要共享session 2.cookie:手机端很多浏览器不支持cookie或者禁用cookiecookie无法跨域,不能跨站点登录,cookie保存在浏览器端, 3.token优势: token无状态,服务端不用存储token,只需要签发校验token 集群,token是无状态的,在集群的时...
cookiesessiontoken详解区别
qq_37292005的博客
07-07 1694
cookiesessiontoken工作原理、特点、应用场景及三者区别
cookiesessiontoken
qq_51497975的博客
05-22 561
本文详细介绍了CookieSessionToken三种用户状态管理技术的背景、工作原理及其优缺点。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Fatter$hday的博客
05-24 3985
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 486
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
Java 泛型详解:类型参数的力量
ZHE|张恒的博客
11-28 1163
本文系统讲解了Java泛型的概念与使用方式。泛型通过在类或方法中引入类型参数,提高了代码的类型安全性复用性。主要内容包括:1)泛型的基本语法,如定义泛型类接口;2)泛型方法及其类型推断;3)三种通配符(?、? extends T、? super T)的使用场景;4)边界限制多重限制;5)泛型的优缺点,如类型安全与类型擦除的影响;6)常见陷阱,如静态上下文instanceof的限制。泛型是现代Java编程的重要特性,能显著减少类型转换运行时错误。
蓝桥杯20534爆破 java
最新发布
2302_80219214的博客
12-02 444
我们可以用Prim 算法,该算法的核心是从一个起点开始,逐步将距离当前连通集合最近的节点加入集合,最终形成最小生成树。
07_Spring AI 干货笔记之提示词
在科技的浪潮中,我们寻找着创新的火种,在代码的海洋里,我们编织着智慧的网。腾飞开源,就是这样一个由技术精英汇聚而成的博客平台,我们致力于分享在Java、Python、IoT和人工智能等领域的最新研究成果和实战经验。 在腾飞开源的博客上,你会看到紧跟技术前
11-30 1616
本文详细介绍了Spring AI中的提示词核心概念与API设计。提示词作为引导AI模型生成特定输出的关键输入,其结构从简单字符串演进为包含多角色消息的复杂形式。Spring AI通过PromptMessage接口提供结构化提示词管理,支持系统、用户、助手等角色分配。PromptTemplate类实现动态内容渲染,并支持自定义模板引擎。文章还涵盖提示词工程的最佳实践与令牌机制,为开发者提供完整的提示词设计解决方案。
【实战】项目traffic analysis技术点记录二
努力学习的!
11-28 1085
主要是因为ClickHouse的DateTime类型精度只到秒级,不支持毫秒部分,而Java的LocalDateTime默认包含毫秒精度。(1) 服务提供者: 通过k8s Service 暴露出一组pod实例,并拥有一个稳定的DNS名称 : user-service.default.svc.cluster.local。这个注解的正确使用对于保证对象比较的正确性非常重要,特别是在使用HashSet、HashMap等集合时!轻量级,中心化的调度方案,依赖JobRunLock,同一任务实例互斥。
Docker:基于自制openjdk8镜像 or 官方openjdk8镜像,制作tomcat镜像
2509_94186151的博客
11-29 534
78.56 MBopenjdk二进制下载地址Dockerfile中,source /etc/profile不能加载的原因为什么还需要选择使用他的原因:三 中,tomcat普通用户交互式启动tomcat#在 Docker 容器中,/etc/profile 文件不会在容器启动时自动执行,这是因为 Docker 容器通常不会启动交互式登录 shell,而是直接运行指定的命令。
SpringMVC的工作流程
2509_94106460的博客
12-01 470
在上述过程中,DispatcherServlet、HandlerMapping、HandlerAdapterViewResolver对象的工作是在框架内部执行的,开发人员只需要配置DispatcherServlet,完成Controller中的业务处理并在View中展示相应信息。DispatcherServlet是前端控制器,是整个流程控制的中心。(5) HandlerAdapter会调用并执行Handler(处理器),这里的处理器指的就是程序中编写的Controller类,也被称之为后端控制器。
CookieSession Token那个好用
06-11
### CookieSession Token 的使用场景及优缺点比较 #### 1. **Cookie 的优缺点** - **优点**: - 简单易用,浏览器会自动处理 Cookie 的发送接收[^2]。 - 适用于简单的身份验证少量数据存储[^4]。 - **缺点**: - 安全性较低,容易受到 XSS(跨站脚本攻击) CSRF(跨站请求伪造)的威胁[^3]。 - 数据大小受限(通常为 4KB),不适合存储大量数据[^4]。 - 每次 HTTP 请求都会携带 Cookie 数据,增加了网络流量负担[^1]。 #### 2. **Session 的优缺点** - **优点**: - 数据存储在服务器端,安全性较高,避免了客户端篡改的风险。 - 支持复杂的数据结构,适合存储用户会话中的大量信息[^3]。 - **缺点**: - 需要依赖 Cookie 来传递 Session ID,仍然可能受到 CSRF 攻击。 - 服务器需要维护会话状态,可能会导致内存占用过高,尤其是在高并发场景下。 - 不适合无状态的分布式系统,因为 Session 数据难以在多个服务器之间共享。 #### 3. **Token 的优缺点** - **优点**: - 基于无状态设计,适合分布式系统微服务架构。 - 可以通过加密技术确保数据的安全性完整性。 - 不需要依赖 Cookie,可以避免 CSRF 攻击[^1]。 - 移动端支持友好,适合现代应用开发[^1]。 - **缺点**: - 如果 Token 存储在本地存储中,可能会受到 XSS 攻击[^3]。 - Token 的有效期管理较为复杂,可能需要额外的刷新机制。 - 如果使用数据库存储 Token,可能会增加查询时间;但如果选择 Redis 等内存数据库,则可以缓解这一问题[^1]。 #### 4. **使用场景比较** - **Cookie Session**:适合传统的 Web 应用程序,尤其是需要频繁交互的场景。例如,电商网站的购物车功能[^4]。 - **Token**:适合现代的单页应用(SPA)、移动端应用以及分布式系统。例如,基于 RESTful API 的应用程序[^1]。 ```python # 示例:生成 JWT Token import jwt import datetime def generate_token(user_id): payload = { 'user_id': user_id, 'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1) # 设置过期时间为1小时 } token = jwt.encode(payload, 'secret_key', algorithm='HS256') return token ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hyzhang_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值