首页 > 其他分享 >session,cookie,token,jwt

session,cookie,token,jwt

时间:2023-04-22 11:35:31浏览次数:64  
标签:Session JWT jwt Token token session 服务端 客户端

cookie,session,token,jwt

cookie是为了解决HTTP在状态管理上的不足,HTPP是无状态协议。目的是让服务端知道客户端的身份。cookie储存在客户端。

Session

session是记录服务器和客户端会话状态的机制

session是基于cookie实现的,session存储在服务器端,sessionid储存在客户端的cookie中

Token

token是访问接口时需要的资源凭证

token组成:uid(唯一身份标识),time(当前时间戳),sign(签名 token前几位以哈希算法压缩成的一定长度的十六进制字符串)

Access Token

客户端使用用户名跟密码请求登录
服务端收到请求,去验证用户名与密码
验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端
客户端收到 token 以后,会把它存储起来,比如放在 localStorage 里
客户端每次发起请求的时候需要把 token 放到请求的 Header 里传给服务端
服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据

Refresh Token

另外一种 token——refresh token
refresh token 是专用于刷新 access token 的 token。如果没有 refresh token,也可以刷新 access token,但每次刷新都要用户输入登录用户名与密码,会很麻烦。有了 refresh token,可以减少这个麻烦,客户端直接用 refresh token 去更新 access token,无需用户进行额外的操作。
400

JWT

JSON Web Token 目前最流行的跨域认证解决方案

是一种认证授权机制

JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。

JWT原理

服务器认证以后,生成一个 JSON 对象,返回给用户。

{
  "姓名": "Lee",
  "到期时间": "2023年6月1日0点0分"
}

JWT 认证流程

用户输入用户名/密码登录,服务端认证成功后,会返回给客户端一个 JWT
客户端将 token 保存到本地(通常使用 localstorage,也可以使用 cookie)
当用户希望访问一个受保护的路由或者资源的时候,需要请求头的 Authorization 字段中使用Bearer 模式添加 JWT,其内容看起来是下面这样

JWT数据结构

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

Token与JWT的区别

相同:

都是访问资源的令牌
都可以记录用户的信息
都是使服务端无状态化
都是只有验证成功后,客户端才能访问服务端上受保护的资源
区别:

Token:服务端验证客户端发送过来的 Token 时,还需要查询数据库获取用户信息,然后验证 Token 是否有效。
JWT: 将 Token 和 Payload 加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,不需要查询或者减少查询数据库,因为 JWT 自包含了用户信息和加密的数据。

Token与session的区别

Session 是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息。而 Token 是令牌,访问资源接口(API)时所需要的资源凭证。Token 使服务端无状态化,不会存储会话信息。
Session 和 Token 并不矛盾,作为身份认证 Token 安全性比 Session 好,因为每一个请求都有签名还能防止监听以及重复攻击,而 Session 就必须依赖链路层来保障通讯安全了。如果你需要实现有状态的会话,仍然可以增加 Session 来在服务器端保存一些状态。
如果你的用户数据可能需要和第三方共享,或者允许第三方调用 API 接口,用 Token 。如果永远只是自己的网站,自己的 App,用什么就无所谓了。

Cookie与Session的区别

安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
存取值的类型不同:Cookie 只支持存字符串数据,Session 可以存任意数据类型。
有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

标签:Session,JWT,jwt,Token,token,session,服务端,客户端
From: https://www.cnblogs.com/lakefront/p/17342675.html

相关文章

  • k3s 基础 —— 配置 kubernetes-dashboard 的 token 过期时间
    拉取配置到本地:kubectlgetdeploykubernetes-dashboard-nkubernetes-dashboard-oyaml>dashboard-deploy.yaml增加参数:spec:containers:-args:---auto-generate-certificates---namespace=kubernetes-dashboard---to......
  • SqlSessionFactory
    SqlSessionFactory是创建SqlSession的工厂.每个基于MyBatis的应用都是以一个SqlSessionFactory的实例为核心的。SqlSessionFactory的实例可以通过SqlSessionFactoryBuilder获得。而SqlSessionFactoryBuilder则可以从XML配置文件或一个预先配置的Configuration实例......
  • 【汇智学堂】JSTL标签库-循环标签(forTokens)
    <c:forTokens>标签与JAVA语言中StringTokenizer类的作用相似,可以用指定的分隔符分离一个字符串,根据分隔的数量确定循环的次数。<%@pagecontentType="text/html;charset=UTF-8"language="java"%><%@tagliburi="http://java.sun.com/jsp/jstl/core"prefix="c&......
  • Installation failed with message Failed to establish session
    Androidstudio的setting里面build==》关闭instantrun用Androidstudio2.3调度程序时提示“InstallationfailedwithmessageFailedtoestablishsession”错误,需要在在开发者选项里关闭MIUI优化!开启手机开发者模式,在开发者选择中打开,USB安装(允许通过USB安装应用)......
  • Flink启动报错:/bin/config.sh: line 32: syntax error near unexpected token
    flink启动报错xxx@ssss:/xxx/flink-1.15.2/bin>shstart-cluster.sh/xxx/flink-1.15.2/bin/config.sh:line32:syntaxerrornearunexpectedtoken`<'/xxx/flink-1.15.2/bin/config.sh:line32:`done<<(find"$FLINK_LIB_DIR"!-ty......
  • 解析token中的信息 ,比如token中的userid
    介绍某些情况我们需要解析token中的信息,比如token中的用户id,方便我们后面用于查询。上一篇我们讲了如何生成token,登录鉴权,怎么验证接口权限的。接下来我们讲讲如何获取token中的信息基本思路:在过滤器中将token中的用户信息存放到context.HttpContext.User或者Thread.CurrentP......
  • python脚本打包与请求带session的区别
    pyinstaller-F-iD:\ico\123.icoXXX.py--key123456如何防止exe被反编译呢只需在打包命令后面加上--key命令即可,例如文章开头的命令可以更换为:pyinstaller-Fw--icon=h.icoauto_organize_gui.py--add-data="h.ico;/"--key123456123456是你用来加密的密钥,可以随......
  • git执行push操作时报错:remote: xxx: Incorrect username or password (access token)
    问题:最近用gitpush项目到gitee时报错,提示信息如下:remote:xxx:Incorrectusernameorpassword(accesstoken)fatal:Authenticationfailedfor'https://gitee.com/xxx/xxx.git/'想了一下,原来是几天前我把gitee的密码给改了,所以原先git存留的密码就失效了解决方案清......
  • Go中使用JWT
    原文链接:https://blog.csdn.net/m0_58121644/article/details/129643351JWT(JSONWebTokens)是一种基于JSON格式的轻量级身份验证和授权方案。在Go项目中使用JWT,一般需要完成以下步骤:1.安装JWT库在Go项目中使用JWT需要先安装JWT库,可以使用以下命令安装:gog......
  • token的作用
    1️⃣客户端使用用户名和密码请求登录。2️⃣服务端收到请求,验证用户名和密码。3️⃣验证成功后,服务端会生成一个token,然后把这个token发送给客户端。4️⃣客户端收到token后把它存储起来,可以放在cookie或者LocalStorage(本地存储)里。5️⃣客户端每次向服务端发送请求的时候都需要带上服......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99