首页 > 其他分享 >三个好基友Cookie、Session和Token

三个好基友Cookie、Session和Token

时间:2023-07-01 14:01:33浏览次数:45  
标签:服务器端 Token Session Cookie 服务器 客户端

原创声明,转载请注明文章链接来源、作者信息

https://mp.weixin.qq.com/s/JGuo0HPAEmcNQMAQ22Mhjg


Cookie、Token和Session区别

hello,我是索奇~

精心写了一篇Cookie、Session和Token的 vivid 文章,并分享给大家

我们可以把Cookie、Token和Session看作是三个好基友,它们都是用来跟踪用户的身份和状态的,但是它们之间有一些区别和使用场景。

Cookie

  • Cookie:曲奇饼,小甜饼;……样的人;(浏览网页后存储在计算机的)缓存文件;<苏格兰>淡面包;漂亮的女孩
    啊,不是让你翻译~ 是让你介绍计算机中Cookie~(不过也学会了一个单词)

三个好基友Cookie、Session和Token_服务器端

三个好基友Cookie、Session和Token_服务器端_02

Cookie就像是你的小秘书,它的主要作用是保存用户的偏好和浏览历史。比如说,你在网上买了一件衣服,但是还没决定是否买下,这时候你可以把这件衣服放进购物车,Cookie就会帮你记住这个购物车里有什么。等到你下次再来这个网站的时候,Cookie就会帮你把购物车里的东西显示出来,让你可以继续购物。

Cookie的数据存储在客户端的浏览器中,不会占用服务器的资源

在浏览器的控制台中,可以直接输入:document.Cookie来查看Cookie。Cookie是一个由键值对构成的字符串,出于安全考虑

httponly类型的获取不到的,不要找半天httponly发现找不到

又多一个名词,再探索一下?

httponly又是什么啊?

HttpOnly就是一个设置在HTTP响应头中的标志,它可以防止某些类型的客户端脚本(如JavaScript)访问cookie。当服务器向客户端发送带有HttpOnly标志的cookie时,客户端的JavaScript代码将无法通过document.cookie访问该cookie,这可以有效地提高Web应用程序的安全性。

如果给某个 cookie 设置了 httponly 属性,则无法通过 JS 脚本读取到该 cookie 的信息,但还是能通过Application 中手动修改 cookie, 所以只是在一定程度上可以防止 XSS 攻击,但也不是绝对的安全

  • Cookie主要用于跟踪用户的偏好和行为,以便提供个性化的体验。例如,在网站上保存用户的登录状态、购物车信息等。
    啊,平时刷视频、逛tb、个性化广告等等的信息居然就是这样被页面记录、推送的

三个好基友Cookie、Session和Token_服务器端_03

还有一个大家都在讨论(众说纷纭)的话题就是-我们平时的浏览记录等信息会被记录吗?

  • 答案是不确定(不保证一定不被记录,不保证一定被记录)
    Cookie本身是存储在客户端的,而不是服务器端,所以服务器不需要把
    Cookie记录保存到数据库中
    但至于记录个人的爱好、浏览记录等信息是否被记录到数据库,如何被记录到数据库,这取决于具体的软件、网站、隐私政策和数据收集方式..

Session

Session就像是你的个人档案,它的主要作用是保存用户的状态和权限。比如说,你在网站上登录之后,服务器就会为你创建一个Session,里面保存了你的登录状态和购物车信息等等。这样,当你在浏览网站的时候,服务器就会根据Session来提供个性化的体验,比如显示你的购物车里有什么,或者显示你最近浏览过的商品。

也可以理解为是一个比较特殊的map ,除了可以像其它map一样存取数据,它还有过期时间、唯一的id区分不同session,

创建该session时,会同时创建一个Cookie,Cookie的keyJSESSIONID,而Cookie的value是该session的id。

又遇到不懂的了吗?Cookie的key是啥东西?

JSESSIONID是一种用于在客户端和服务器端之间传递会话信息的Cookie名称。当用户在浏览器中访问一个需要登录的网站时,服务器会

在后台创建一个会话,并生成一个唯一的Session ID,将其存储在服务器端的Session中,同时,服务器会将Session ID通过Cookie的方式发送给客户端,通常使用的Cookie名称就是JSESSIONID

三个好基友Cookie、Session和Token_服务器_04

  • Session的数据信息存放在服务器上,Session的数据只能被服务器访问,因此相对来说比较安全,但是需要占用服务器的资源,
  • Session主要用于跟踪用户的状态和权限,以便提供个性化的体验。例如,你搜索的内容、在网站上保存用户的登录状态、购物车信息等。
  • 对于Session并没有上限,但出于对服务器端的性能考虑,Session内不要存放过多的东西

Token

三个好基友Cookie、Session和Token_客户端_05

Token就像是你的身份证,它的主要作用是用于身份验证和授权。比如说,你在使用某个APP的时候,需要登录才能使用一些功能,这时候APP就会颁发给你一个Token(令牌),你需要在每个请求中携带这个Token,服务器会通过验证Token来确定你的身份和权限,以确保你只能访问你有权访问的内容。

三个好基友Cookie、Session和Token_客户端_06

比如用户已经登录了系统, 我给他发一个token, 里边包含了这个用户的 user id, 下一次这个用户再次通过Http 请求访问我的时候, 把这个token 通过Http header 带过来就可以了。

但是这时候感觉和session没区别啊,万一有人伪造做假攻击呢?于是就用算法对数据做了签名,用签名+数据 = token ,签名不知道,也就无法伪造token了

这个token 不保存, 当用户把这个token 给我发过来的时候,我再用同样的算法和同样的密钥,对数据再计算一次签名, 和token 中的签名做个比较, 如果相同, 我就知道用户已经登录过了,并且可以直接取到用户的user id , 如果不相同, 数据部分肯定被人篡改过, 就知道这个人是冒充货,返给它没有认证的信息

三个好基友Cookie、Session和Token_客户端_07

Token是一种无状态的身份验证机制,意味着服务器不需要保存Token的状态(这不是大大的减轻了服务器的压力~),前后端分离架构中前端无法直接访问后端的Session。但是,前后端分离架构中依然可以使用Session来存储应用程序的其他状态信息,例如购物车数据等,只是不能用来保存用户的登录状态。

  • 既可以保存在服务器也可以在客户端
  • Token是一种无状态的身份验证机制,它可以在多个服务器之间共享,而Session则需要在每个服务器上都保存一份。使用Token可以避免Session共享和Session过期等问题,同时也可以降低服务器的负担。
  • Token 中的数据是明文保存的, 还是可以被别人看到的, 所以我不能在其中保存像密码这样的敏感信息
  • 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。
  • 大多数使用Web API的互联网公司中,它是Tokens多用户下处理认证的最佳方式
  • 被攻击是不是很烦恼! Token通常用于API身份验证等场景,可以有效避免跨站请求伪造(CSRF)等攻击~

拓展一下Token的身份验证过程

  • 用户在客户端进行登录操作,将用户名和密码发送到服务器端。
  • 服务器端通过验证用户名和密码的正确性,生成一个Token,并将Token返回给客户端。
  • 客户端将Token保存在本地,例如在浏览器的Cookie或localStorage中。
  • 客户端在后续的请求中,将Token发送给服务器端进行身份验证。
  • 服务器端接收到请求后,从请求中获取Token,并对Token进行解密和验证。
  • 如果Token验证通过,服务器端将响应请求并返回所需的数据,否则返回身份验证失败的错误信息。

在身份验证过程中,服务器端通常会对Token进行解密、验证签名、检查Token是否过期等操作,以确保Token的有效性和安全性

栩栩如生、通俗易懂~ 重点讲完了!

简单记一些知识

看完了没,啥也没懂?好吧,无奈,简单记一下区别吧,面试时候不能哑口无言吧

三个好基友Cookie、Session和Token_服务器_08

  • Session和Token是在服务器端保存数据的机制,而Cookie是在客户端保存数据的机制
    通常情况单个Cookie保存的数据在4KB以内(面试官:这都知道,给你offer!欣喜若狂的自己:太好了!)
  • Session和Token通常用于身份验证和状态管理,而Cookie通常用于跟踪用户的偏好和行为
  • Session和Token通常用于敏感数据的存储和传输,而Cookie通常用于非敏感数据的存储和传输。
  • Session和Token需要服务器端进行管理和维护,而Cookie可以由客户端自行管理和维护。
  • Token可以跨域使用,而Session通常只能在同一个域名下使用;Token可以在分布式系统中使用,而Session通常只能在单一服务器上使用。

(可以忽略)写着写着又想要拓展了,哈哈哈,想要探索的伙伴们,一定想要知道单个站点可以存储的Cookie数量,

这里有疑惑?

国际互联网标准是每个网站可以存储的 Cookie 数量不得超过 300 个,具体还是根据不同的浏览器来定,

发现部分博主说单个站点最多保存20个Cookie,这是不合理的,也有近100点赞

网上一连串的信息是复制的,有时我们不能轻易的相信,要学会自己去探索,去验证!不然就误人耳目了

三个好基友Cookie、Session和Token_客户端_09

三个好基友Cookie、Session和Token_客户端_10

这里是仅仅是为了说明下Cookie的数量,帮助更多伙伴学会探索知识,对原博主没有任何恶意哈

标签:服务器端,Token,Session,Cookie,服务器,客户端
From: https://blog.51cto.com/u_16088329/6599351

相关文章

  • Csharp的CancellationToken 案例
    usingSystem;usingSystem.Collections.Generic;usingSystem.Linq;usingSystem.Net.Http;usingSystem.Text;usingSystem.Threading;usingSystem.Threading.Tasks;//命名空间namespacepro01{//类internalclassProgram{//main方法......
  • Cookie-细节-储存中文
        ......
  • 为什么Python Selenium获取的Cookie不完整?
    在某些情况下,使用PythonSelenium访问网页并尝试获取Cookie时,可能会发现获取到的Cookie不完整。具体而言,期望获取的Cookie键值对数量与实际获取的数量不符。类似这个uu的问题:目前情况下,PythonSelenium获取的Cookie不完整可能的原因有几个:1.在获取Cookie之前,网页内容可能还未完全加......
  • node使用jsonwebtoken生成token与验证是否过期
    场景我们可以使用cookie,session,token来做鉴权。下面我们来看一下,如何使用token来做鉴权jwt.sign的简单介绍npminstalljsonwebtoken下载使用jsonwebtoken生成token的基本语法。jwt.sign(payload,secretOrPrivateKey,[options,callback])第1个参数payload:可以......
  • 微信开发中你不知道的事~openid、unionid、session_key
    先了解基本概念~openid:微信公众平台对用户的唯一标识unionid:同一个微信开放平台下的用户唯一标识session_key:会话密钥一.openid可理解成1个微信用户打开1个微信公众号大门的唯一的1把钥匙同一组织(企业)注册的不同类型公众平台,被看作是多个不同的账号所以,当小明同......
  • SqlSessionFactory工具类抽取
     packagecom.itheima.util;importorg.apache.ibatis.io.Resources;importorg.apache.ibatis.session.SqlSessionFactory;importorg.apache.ibatis.session.SqlSessionFactoryBuilder;importjava.io.IOException;importjava.io.InputStream;publicclassSqlS......
  • Session,JWT使用总结
    01.Session:优点:Session是存储在服务端的,安全缺点:服务器集群环境下无法直接使用Session移动端APP(Android、IOS)中无法使用Cookie用户可以自己禁用CookieCookie不能跨域02.令牌技术:JWT令牌JSONWebToken(官网:https://jwt.io/)1.定义了一种简洁的、自包含的格式,用于在通信......
  • React学习时,outlet配置(token判定,页面path监听)
    尽管写过outlet路由的配置。考虑到token判定和路由页变更,我不了解v6是不是有更详解的做法。决定调一下配置,期望在任何页面异步更新时,token都可以在跳转前被检测到,防止无token跳转发生。为src文件配置v6版本:路由子组件App.jsimport{HashRouter,Routes,Ro......
  • 同一个ip,不同端口号,session失效
    背景我有两个工程projectA、projectB,projectA放在TomcatA中,projectB放在TomcatB中,TomcatA、TomcatB在一台server上。工程都映射的根路径,不用project名字就可以访问,如下http://ip1:7777/http://ip1:8080/问题先在7777登录,然后再在8080登录,发现会把7777端口的用户踢下来;再在7777登......
  • Tomcat7 session 持久化
    tomcat7session默认是持久化的,tomcat7关闭或者重启,都会将内容持久化到SESSION.ser文件,这里推荐使用everything这个软件,查找这个文件。参考官方文档: 戳我......