九、会话控制——cookie、session、token

这篇具有很好参考价值的文章主要介绍了九、会话控制——cookie、session、token。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


前言

HTTP是一种无状态协议,它没有办法区分多次的请求是否来自于同一个客户端,无法区分用户。而产品中又大量存在这样的需求,所以我们需要通过会话控制来解决问题。
常见的会话控制有三种:
(1)cookie
(2)session
(3)token


一、cookie

1.1 cookie 是什么

cookie 是HTTP服务器发送到用户浏览器并保存在本地的一小块数据。
cookie 是保存在浏览器端的一小块数据
cookie 是按照域名划分保存的

1.2 cookie 的特点

浏览器向服务器发送请求时,会自动将当前域名下可用的cookie设置在请求头中,然后传递给服务器。这个请求头的名字也叫‘cookie’,所以将cookie理解为一个HTTP请求头也是可以的。

1.3 cookie 的运行流程

填写账号和密码校验身份,校验通过后下发cookie
九、会话控制——cookie、session、token
有了cookie之后,后续向服务器发送请求时,会自动携带cookie
九、会话控制——cookie、session、token

1.4 express 框架中设置cookie

// 导入express
const express=require('express');

// 创建应用对象
const app =express();

// 创建路由规则
app.get('/set-cookie',(req,res)=>{
    // res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁
    res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄
    res.send('home');
});

// 启动服务
app.listen(3000);

1.5 express 框架中删除cookie

// 导入express
const express=require('express');

// 创建应用对象
const app =express();

// 创建路由规则
app.get('/set-cookie',(req,res)=>{
    // res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁
    res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄
    res.cookie('theme','blue');
    res.send('home');
});

// 删除cookie
app.get('/remove-cookie',(req,res)=>{
    // 调用方法
    res.clearCookie('name');
    res.send('删除成功');
})

// 启动服务
app.listen(3000);

1.6 express 框架中获取cookie

使用cookie-parser

// 导入express
const express=require('express');
// 导入包
const cookieParser=require('cookie-parser')

// 创建应用对象
const app =express();
app.use(cookieParser());

// 创建路由规则
app.get('/set-cookie',(req,res)=>{
    // res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁
    res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄
    res.cookie('theme','blue');
    res.send('home');
});

// 获取cookie
app.get('/get-cookie',(req,res)=>{
    // 获取cookie
    console.log(req.cookies);
    res.send('获取cookie');
})

// 启动服务
app.listen(3000);

二、session

2.1 session 是什么

session 是保存在服务器端的一块儿数据,保存当前访问用户的相关信息。

2.2 session 的作用

实现会话控制,可以识别用户的身份,快速获取当前用户的相关信息。

2.3 session 的运行流程

浏览器端填写账号和密码传给服务器校验身份,服务器校验通过后创建session信息,然后将session_id的值通过响应头返回给浏览器。浏览器有了cookie,下次发送请求时会自动携带cookie,服务器通过cookie中的session_id的值确定用户的身份。

2.4 session 和 cookie 的区别

(1)存在的位置
· cookie:浏览器端
· session:服务端

(2)安全性
· cookie是以明文的方式存放在客户端的,安全性相对较低
· session存放于服务器中,所以安全性相对较好

(3)网络传输质量
· cookie设置内容过多会增大报文体积,会影响传输效率
· session数据存储在服务器,只是通过cookie传递id,所以不影响传输效率

(4)存储限制
· 浏览器限制单个cookie保存的数据不能超过4k,且单个域名下的存储数量也有限制
· session 数据存储在服务器中,所以没有这些限制

三、token

3.1 token 是什么

token是服务端生成并返回给HTTP客户端的一串加密字符串,token中保存着用户信息

3.2 token 的作用

实现会话控制,可以识别用户的身份,主要用于移动端APP

3.3 token 的工作流程

填写账号和密码校验身份,校验通过后响应token,token一般是在响应体中返回给客户端的
九、会话控制——cookie、session、token
后续发送请求时,需要手动将token添加在请求报文中,一般是放在请求头中,cookie为自动携带
九、会话控制——cookie、session、token

3.4 token 的特点

(1)服务器端压力更小
--------数据存储在客户端

(2)相对更安全
--------数据加密
--------可以避免CSRF(跨站请求伪造)

(3)扩展性更强
--------服务间可以共享
--------增加服务节点更简单

3.5 JWT

JWT(JSON Web Token)是目前最流行的跨域认证解决方案,可用于基于token的身份验证
JWT使token的生成与校验更规范
我们可以使用JWT包来操作token,使用前先安装包:npm i jsonwebtoken文章来源地址https://www.toymoban.com/news/detail-500704.html

// 导入 jwt
const jwt=require('jsonwebtoken')

// 1. 创建(生成)token
// let token = jwt.sign(用户数据,加密字符串,配置对象);
let token=jwt.sign({
    username:'zhangsan'
},'aaaaaa',{
    expiresIn:60, // 单位是秒
})
console.log(token)

let t='eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwiaWF0IjoxNjg2Nzk1ODA5LCJleHAiOjE2ODY3OTU4Njl9.KRZxCJFb9ry5vVL2w-n6tvqaG8JQrPqp8Ej0BwT6myM'

// 校验 token
jwt.verify(t,'aaaaaa',(err,data)=>{
    if(err){
        console.log('校验失败');
        return
    }
    console.log(data);
})

到了这里,关于九、会话控制——cookie、session、token的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • web学习--Cookie与Session会话技术

    1.概念:客户端会话技术,将数据保存在客户端 使用步骤: 1,创建Cookie对象,绑定数据 2.发送Cookie对象 3.获取Cookie,拿到数据 WebServlet(\\\"/Demo1\\\") public class CookidDemo1 extends HttpServlet {     @Override     protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException

    2024年02月13日
    浏览(46)
  • Servlet【 ServletAPI中的会话管理Cookie与Session】

    HTTP 协议自身是属于 “无状态” 协议. “无状态” 的含义指的是: 默认情况下 HTTP 协议的客户端和服务器之间的这次通信, 和下次通信之间没有直接的联系.但是实际开发中, 我们很多时候是需要知道请求之间的关联关系的. 例如登陆网站成功后, 第二次访问的时候服务器就能知

    2024年02月09日
    浏览(52)
  • 会话跟踪技术学习笔记(Cookie+Session)+ HTTP学习笔记

    1.1 Cookie 1. Cookie:是一种客户端会话技术,数据会被保存在客户端,Cookie会携带数据访问服务器,用以完成一次会话内多次请求间的数据共享 2. 过程:浏览器(客户端)先向服务端发送请求,服务端会发送一个Cookie给客户端,在此后同一次会话中,每次客户端都会将Cookie发送

    2024年02月10日
    浏览(46)
  • 如何在个人web项目中使用会话技术(cookie&session)?

    编译软件:IntelliJ IDEA 2019.2.4 x64 操作系统:win10 x64 位 家庭版 服务器软件:apache-tomcat-8.5.27 翻开百度百科关于“ 会话 ”的词条,它是这样描述:“ 在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程,比如从输入账户密码进入操作系统到退出操作系统就是一

    2023年04月22日
    浏览(53)
  • 如何让你的会话更安全,浅析Session与Cookie

            在我们面试的时候,面试官问及 XSS 漏洞的时候,我们常常会说比如劫持 Cookie,问及防御方法的时候,又常常会说设置 httponly ,本篇文章将从代码层面简单的普及 Session 和 Cookie 的生成过程,及防御的方法,希望看到这篇文章后,下一次遇到面试官的时候,你能够

    2024年02月22日
    浏览(50)
  • 从Cookie到Session: Servlet API中的会话管理详解

    首先, 在学习过 HTTP 协议的基础上, 我们需要知道 Cookie 是 HTTP 请求报头中的一个段, 本质上是浏览器在本地存储数据的一种机制, 要清楚 Cookie 是从哪里来, 要到哪里去. Cookie 是来自于服务器的, 通过响应报文中的 Set-Cookie 字段将数据返回保存在浏览器本地的; 后续当浏览

    2024年02月08日
    浏览(42)
  • 使用Session和cookie会话对象实现简单购物车功能(超详细)

    1.新建Dynamic Web project,新建过程如下; 2.在src目录下新建两个包,一个命名为entity,一个命名为servlet,新建过程如下; 3.在entity目录下新建两个实体类,一个名为Cake,一个名为CakeDB,新建过程如下: 4.在servlet目录下新建三个servlet,命名分别为ListCakeServlet、PurchaseServlet和CartSe

    2023年04月17日
    浏览(72)
  • cookie+session和token

    总结说在前面: session:起源于服务端,保存在服务端(服务器或者数据库),通过cookie传递给用户,用户每一次发送HTTP请求的时候,通过验证cookie中的session-id来验证用户身份。 jwt(json web token):起源于服务端,保存在浏览器(cookie或者storage),和session一样,用户每一次发

    2024年02月19日
    浏览(41)
  • cookie,session和token详解

    目前网络上进行用户验证的方法主要有三种:cookie,session,token,他们之间存在相似也有各自的优缺点,本文将着重强调。 cookie是浏览器存储在本地的文件,主要用于存储服务器对用户进行的标记,大小有限一般只为4kb,用户在第一次进行服务器请求时,服务器会生成对应的

    2024年02月13日
    浏览(38)
  • cookie、session、token的区别

    HTTP无状态 当登录一个大部分网站的时候,第一次登录之后,之后的很长一段时间当我们再次访问网站的时候都不需要我们再次登录了,这个是怎么回事呢? 我们都知道http是无状态的,什么是无状态:关闭网页,再次访问服务器,服务器是不能知道是你在访问。所以就是靠接

    2024年02月08日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包