三个好基友Cookie、Session和Token

这篇具有很好参考价值的文章主要介绍了三个好基友Cookie、Session和Token。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

原创声明,转载请注明文章链接来源、作者信息

>三个好基友Cookie、Session和Token

hello,我是索奇~

精心写了一篇Cookie、Session和Token的 vivid 文章,并分享给大家

我们可以把Cookie、Token和Session看作是三个好基友,它们都是用来跟踪用户的身份和状态的,但是它们之间有一些区别和使用场景。

Cookie

  • Cookie:曲奇饼,小甜饼;……样的人;(浏览网页后存储在计算机的)缓存文件;<苏格兰>淡面包;漂亮的女孩

    啊,不是让你翻译~ 是让你介绍计算机中Cookie~(不过也学会了一个单词)

三个好基友Cookie、Session和Token

三个好基友Cookie、Session和Token

Cookie就像是你的小秘书,它的主要作用是保存用户的偏好和浏览历史。比如说,你在网上买了一件衣服,但是还没决定是否买下,这时候你可以把这件衣服放进购物车,Cookie就会帮你记住这个购物车里有什么。等到你下次再来这个网站的时候,Cookie就会帮你把购物车里的东西显示出来,让你可以继续购物。

Cookie的数据存储在客户端的浏览器中,不会占用服务器的资源

在浏览器的控制台中,可以直接输入:document.Cookie来查看Cookie。Cookie是一个由键值对构成的字符串,出于安全考虑

httponly类型的获取不到的,不要找半天httponly发现找不到

又多一个名词,再探索一下?

httponly又是什么啊?

HttpOnly就是一个设置在HTTP响应头中的标志,它可以防止某些类型的客户端脚本(如JavaScript)访问cookie。当服务器向客户端发送带有HttpOnly标志的cookie时,客户端的JavaScript代码将无法通过document.cookie访问该cookie,这可以有效地提高Web应用程序的安全性。

如果给某个 cookie 设置了 httponly 属性,则无法通过 JS 脚本读取到该 cookie 的信息,但还是能通过Application 中手动修改 cookie, 所以只是在一定程度上可以防止 XSS 攻击,但也不是绝对的安全

  • Cookie主要用于跟踪用户的偏好和行为,以便提供个性化的体验。例如,在网站上保存用户的登录状态、购物车信息等。

    啊,平时刷视频、逛tb、个性化广告等等的信息居然就是这样被页面记录、推送的

三个好基友Cookie、Session和Token

还有一个大家都在讨论(众说纷纭)的话题就是-我们平时的浏览记录等信息会被记录吗?

  • 答案是不确定(不保证一定不被记录,不保证一定被记录)

    Cookie本身是存储在客户端的,而不是服务器端,所以服务器不需要把

    Cookie记录保存到数据库中

    但至于记录个人的爱好、浏览记录等信息是否被记录到数据库,如何被记录到数据库,这取决于具体的软件、网站、隐私政策和数据收集方式..

Session

Session就像是你的个人档案,它的主要作用是保存用户的状态和权限。比如说,你在网站上登录之后,服务器就会为你创建一个Session,里面保存了你的登录状态和购物车信息等等。这样,当你在浏览网站的时候,服务器就会根据Session来提供个性化的体验,比如显示你的购物车里有什么,或者显示你最近浏览过的商品。

也可以理解为是一个比较特殊的map ,除了可以像其它map一样存取数据,它还有过期时间、唯一的id区分不同session,

创建该session时,会同时创建一个Cookie,Cookie的keyJSESSIONID,而Cookie的value是该session的id。

又遇到不懂的了吗?Cookie的key是啥东西?

JSESSIONID是一种用于在客户端和服务器端之间传递会话信息的Cookie名称。当用户在浏览器中访问一个需要登录的网站时,服务器会

在后台创建一个会话,并生成一个唯一的Session ID,将其存储在服务器端的Session中,同时,服务器会将Session ID通过Cookie的方式发送给客户端,通常使用的Cookie名称就是JSESSIONID

三个好基友Cookie、Session和Token

  • Session的数据信息存放在服务器上,Session的数据只能被服务器访问,因此相对来说比较安全,但是需要占用服务器的资源,

  • Session主要用于跟踪用户的状态和权限,以便提供个性化的体验。例如,你搜索的内容、在网站上保存用户的登录状态、购物车信息等。

  • 对于Session并没有上限,但出于对服务器端的性能考虑,Session内不要存放过多的东西

Token

三个好基友Cookie、Session和Token

Token就像是你的身份证,它的主要作用是用于身份验证和授权。比如说,你在使用某个APP的时候,需要登录才能使用一些功能,这时候APP就会颁发给你一个Token(令牌),你需要在每个请求中携带这个Token,服务器会通过验证Token来确定你的身份和权限,以确保你只能访问你有权访问的内容。

三个好基友Cookie、Session和Token

比如用户已经登录了系统, 我给他发一个token, 里边包含了这个用户的 user id, 下一次这个用户再次通过Http 请求访问我的时候, 把这个token 通过Http header 带过来就可以了。

但是这时候感觉和session没区别啊,万一有人伪造做假攻击呢?于是就用算法对数据做了签名,用签名+数据 = token ,签名不知道,也就无法伪造token了

这个token 不保存, 当用户把这个token 给我发过来的时候,我再用同样的算法和同样的密钥,对数据再计算一次签名, 和token 中的签名做个比较, 如果相同, 我就知道用户已经登录过了,并且可以直接取到用户的user id , 如果不相同, 数据部分肯定被人篡改过, 就知道这个人是冒充货,返给它没有认证的信息

三个好基友Cookie、Session和Token

Token是一种无状态的身份验证机制,意味着服务器不需要保存Token的状态(这不是大大的减轻了服务器的压力~),前后端分离架构中前端无法直接访问后端的Session。但是,前后端分离架构中依然可以使用Session来存储应用程序的其他状态信息,例如购物车数据等,只是不能用来保存用户的登录状态。

  • 既可以保存在服务器也可以在客户端

  • Token是一种无状态的身份验证机制,它可以在多个服务器之间共享,而Session则需要在每个服务器上都保存一份。使用Token可以避免Session共享和Session过期等问题,同时也可以降低服务器的负担。

  • Token 中的数据是明文保存的, 还是可以被别人看到的, 所以我不能在其中保存像密码这样的敏感信息

  • 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。

  • 大多数使用Web API的互联网公司中,它是Tokens多用户下处理认证的最佳方式

  • 被攻击是不是很烦恼! Token通常用于API身份验证等场景,可以有效避免跨站请求伪造(CSRF)等攻击~

拓展一下Token的身份验证过程

  • 用户在客户端进行登录操作,将用户名和密码发送到服务器端。

  • 服务器端通过验证用户名和密码的正确性,生成一个Token,并将Token返回给客户端。

  • 客户端将Token保存在本地,例如在浏览器的Cookie或localStorage中。

  • 客户端在后续的请求中,将Token发送给服务器端进行身份验证。

  • 服务器端接收到请求后,从请求中获取Token,并对Token进行解密和验证。

  • 如果Token验证通过,服务器端将响应请求并返回所需的数据,否则返回身份验证失败的错误信息。

在身份验证过程中,服务器端通常会对Token进行解密、验证签名、检查Token是否过期等操作,以确保Token的有效性和安全性

栩栩如生、通俗易懂~ 重点讲完了!

简单记一些知识

看完了没,啥也没懂?好吧,无奈,简单记一下区别吧,面试时候不能哑口无言吧

三个好基友Cookie、Session和Token

  • Session和Token是在服务器端保存数据的机制,而Cookie是在客户端保存数据的机制

    通常情况单个Cookie保存的数据在4KB以内(面试官:这都知道,给你offer!欣喜若狂的自己:太好了!)

  • Session和Token通常用于身份验证和状态管理,而Cookie通常用于跟踪用户的偏好和行为

  • Session和Token通常用于敏感数据的存储和传输,而Cookie通常用于非敏感数据的存储和传输。

  • Session和Token需要服务器端进行管理和维护,而Cookie可以由客户端自行管理和维护。

  • Token可以跨域使用,而Session通常只能在同一个域名下使用;Token可以在分布式系统中使用,而Session通常只能在单一服务器上使用。

(可以忽略)写着写着又想要拓展了,哈哈哈,想要探索的伙伴们,一定想要知道单个站点可以存储的Cookie数量,

这里有疑惑?

国际互联网标准是每个网站可以存储的 Cookie 数量不得超过 300 个,具体还是根据不同的浏览器来定,

发现部分博主说单个站点最多保存20个Cookie,这是不合理的,也有近100点赞

网上一连串的信息是复制的,有时我们不能轻易的相信,要学会自己去探索,去验证!不然就误人耳目了

三个好基友Cookie、Session和Token

三个好基友Cookie、Session和Token

这里是仅仅是为了说明下Cookie的数量,帮助更多伙伴学会探索知识,对原博主没有任何恶意哈文章来源地址https://www.toymoban.com/news/detail-513717.html

到了这里,关于三个好基友Cookie、Session和Token的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • cookie、session和token的区别

    作用:三者的作用是在浏览器上保存用户的登录态,其实就是实现用户在网页上登录过一次后,一段时间内再次访问不需要重新登录,会实现自动登录的一个效果。 cookie: 是客户端用来存放数据的一个容器,大小约为4k,是服务器发送到用户浏览器并保存在本地的一小块数据

    2024年02月14日
    浏览(43)
  • 九、会话控制——cookie、session、token

    HTTP是一种无状态协议,它没有办法区分多次的请求是否来自于同一个客户端,无法区分用户。而产品中又大量存在这样的需求,所以我们需要通过会话控制来解决问题。 常见的会话控制有三种: (1)cookie (2)session (3)token cookie 是HTTP服务器发送到用户浏览器并保存在本

    2024年02月11日
    浏览(39)
  • Token,Cookie和Session三者的区别

    在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对token,cookie,session的区别还是一知半解。 cookie是服务器端生成发送给客户端在客户端保存的 session是放在服务器端来和客户端的cookie做匹配的 Token是为了解决客户端频繁向服务端请求数据,服

    2024年02月04日
    浏览(34)
  • cookie、session与token之间的关系

    Cookie、Session和Token机制在Web应用中主要用于 验证用户的身份信息 。通过这些机制,服务器能够确定请求是否来自已经登录的合法用户,并根据用户的身份进行相应的操作和授权。 具体来说: - Cookie和Session: Cookie和Session通常是结合使用的, 在用户成功登录后,服务器会创建

    2024年02月09日
    浏览(46)
  • 简述一下cookie、session以及token的区别

    相同都是用来签权服务器的,不同的是主要是存储位置和存储容量 cookie数据存放在客户的浏览器上、session数据放在服务器内存上、token存储在服务器数据库上 cookie 单个4kb,不超过20个;session不限制 token是接口测试时鉴权码,其实也就是一个字符串,一般情况下登陆后才可以

    2024年04月14日
    浏览(41)
  • 安全学习DAY23_Cookie&Session&Token

    Cookie和Session都是用来在Web应用程序中跟踪用户状态的机制 1、存储位置不同: Cookie是存储在客户端(浏览器)上的,而Session是存储在服务器端的。 2、安全性不同: Cookie存储在客户端上,可能会被黑客利用窃取信息,而Session存储在服务器上,更加安全。 3、存储容量不同:

    2024年02月09日
    浏览(32)
  • 【软件测试】cookie、session和token的区别

    今天就来说说session、cookie、token这三者之间的关系!最近这仨玩意搞得头有点大 我们都知道 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是没有关系的

    2024年02月10日
    浏览(36)
  • 【用户认证】密码加密,用户状态保存,cookie,session,token

    认证(authentication )是验证你的身份的过程,而授权(authorization)是验证你有权访问的过程 获取用户提交的用户名和密码 根据用户名,查询数据库,获得完整的用户信息,包括真正的密码 比较提交的密码和查询到的密码 如果二者相等,则用户认证成功;否则用户认证失败

    2024年02月12日
    浏览(42)
  • Cookie、Session和Token三者区别以及各自应用场景

    存储位置:Session和Cookie分别存储在服务器端和客户端,而Token则是在客户端和服务器端之间传递的。 安全性:Session相对于Cookie来说更安全,因为Session存储在服务器端,不容易被恶意攻击者获取。而Cookie存储在客户端,存在被拦截或篡改的风险。Token则通常用于安全认证和授

    2024年02月09日
    浏览(44)
  • HTTP请求中token、cookie、session有什么区别

     cookie HTTP 无状态的,每次请求都要携带 cookie ,以帮助识别身份 服务端也可以向客户端 set-cookie , cookie 大小 4kb 默认有跨域限制:不可跨域共享,不可跨域传递 cookie (可通过设置 withCredential 跨域传递 cookie ) cookie本地存储 HTML5 之前 cookie 常被用于本地存储 HTML5 之后推荐使用

    2024年02月08日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包