HTTP请求中token、cookie、session有什么区别-Toy模板网

这篇具有很好参考价值的文章主要介绍了HTTP请求中token、cookie、session有什么区别。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

cookie

HTTP无状态的，每次请求都要携带cookie,以帮助识别身份
服务端也可以向客户端set-cookie,cookie大小4kb
默认有跨域限制：不可跨域共享，不可跨域传递cookie（可通过设置withCredential跨域传递cookie）

cookie本地存储

HTML5之前cookie常被用于本地存储
HTML5之后推荐使用localStorage和sessionStorage

现代浏览器开始禁止第三方cookie

和跨域限制不同，这里是：禁止网页引入第三方js设置cookie
打击第三方广告设置cookie
可以通过属性设置 SameSite:Strict/Lax/None

cookie和session

cookie用于登录验证，存储用户表示（userId）
session在服务端，存储用户详细信息，和cookie信息一一对应
cookie+session是常见的登录验证解决方案

HTTP请求中token、cookie、session有什么区别

// 登录：用户名 密码
// 服务端set-cookie: userId=x1 把用户id传给浏览器存储在cookie中
// 下次请求直接带上cookie:userId=x1 服务端根据userId找到哪个用户的信息

// 服务端session集中存储所有的用户信息在缓存中
const session = {
  x1: {
    username:'xx1',
    email:'xx1'
  },
  x2: { // 当下次来了一个用户x2也记录x2的登录信息,同时x1也不会丢失
    username:'xx2',
    email:'xx2'
  },
}

token和cookie

cookie是HTTP规范（每次请求都会携带），而token是自定义传递
cookie会默认被浏览器存储，而token需自己存储
token默认没有跨域限制

JWT(json web token)

前端发起登录，后端验证成功后，返回一个加密的token
前端自行存储这个token（其他包含了用户信息，加密的）
以后访问服务端接口，都携带着这个token，作为用户信息

session和jwt哪个更好？

session的优点
- 用户信息存储在服务端，可快速封禁某个用户
- 占用服务端内存，成本高
- 多进程多服务器时不好同步，需要使用redis缓存
- 默认有跨域限制
JWT的优点
- 不占用服务端内存，token存储在客户端浏览器
- 多进程、多服务器不受影响
- 没有跨域限制
- 用户信息存储在客户端，无法快速封禁某用户（可以在服务端建立黑名单，也需要成本）
- 万一服务端密钥被泄露，则用户信息全部丢失
- token体积一般比cookie大，会增加请求的数据量
如严格管理用户信息（保密、快速封禁）推荐使用session
没有特殊要求，推荐使用JWT

如何实现SSO(Single Sign On)单点登录

单点登录的本质就是在多个应用系统中共享登录状态，如果用户的登录状态是记录在 Session 中的，要实现共享登录状态，就要先共享 Session
所以实现单点登录的关键在于，如何让 Session ID（或 Token）在多个域中共享
主域名相同，基于cookie实现单点登录
- cookie默认不可跨域共享，但有些情况下可设置跨域共享
- 主域名相同，如www.baidu.com、image.baidu.com
- 设置cookie domain为主域baidu.com，即可共享cookie
- 主域名不同，则cookie无法共享。可使用sso技术方案来做
主域名不同，基于SSO技术方案实现
- 系统A、B、SSO域名都是独立的
- 用户访问系统A，系统A重定向到SSO登录（登录页面在SSO）输入用户名密码提交到SSO，验证用户名密码，将登录状态写入SSO的session，同时将token作为参数返回给客户端
- 客户端携带token去访问系统A，系统A携带token去SSO验证，SSO验证通过返回用户信息给系统A
- 用户访问B系统，B系统没有登录，重定向到SSO获取token（由于SSO已经登录了，不需要重新登录认证，之前在A系统登录过）,拿着token去B系统，B系统拿着token去SSO里面换取用户信息
- 整个所有用户的登录、用户信息的保存、用户的token验证，全部都在SSO第三方独立的服务中处理