简析Cookie、Session、Token

手打不易,如果转摘,请注明出处!
注明原文:https://zhangxiaofan.blog.csdn.net/article/details/133498756

文章目录

  • 简析Cookie、Session、Token
    • 什么是 Cookie ?
    • 什么是 Session ?
    • Cookie 和 Session 到底是什么关系?
    • 什么是 Token ?
    • Session VS Token ?
    • 总结

简析Cookie、Session、Token

什么是 Cookie ?

  1. cookie 存储在前端
    例如第一次请求后端,会创建一个 sessionId 返回给前端,那么前端就会把 sessionId:xxxx 保存到 cookie 中, 下次请求的时候,前端会携带这个数据发送到后端。
  2. cookie 无法跨域
  3. cookie 只支持存储字符串数据, 大部分浏览器都不能超过 4KB

例如某次访问CSDN中的cookie

{Cookie: JSESSIONID=5124fa26-9334-4c7d-9123-6141b14b9c92;uuid_tt_dd=10_20850520640-1656988062941-486962;UserName=qXXXX4;UserInfo=8d100c5XXX4dd7a3fbc5e97;UserToken=8d100c5XXX0f4dd7a3fbc5e97;UserNick=Mr.XXX.;...
}

什么是 Session ?

  1. session 存储在后端
    session 用于记录前后端会话信息,本身是基于 cookie 实现的,session 存储在后端(例如:redis),sessionId 则存储在前端的 cookie 中。因此 session 相对来说更安全。
    简单的来说:sessionID 是连接 Cookie 和 Session 的一道桥梁
    注意:这并不是说它是唯一的桥梁,我们也可以在 sessionId 拼接在请求 url 的 parameter 中。
  2. session 能存储任意Object对象,大小理论上不限制,只要内存够。

一般session存哪些信息?
例如 org.apache.shiro.session.mgt.SimpleSession 就存储了以下信息:

private transient Serializable id;
private transient Date startTimestamp;
private transient Date stopTimestamp;
private transient Date lastAccessTime;
private transient long timeout;
private transient boolean expired;
private transient String host;
private transient Map<Object, Object> attributes;

包括:id、时间戳、过期时间、host、各种属性 attributes Map等等。

Cookie 和 Session 到底是什么关系?

网上一大把的文章都在对比 cookie 和 session。
严格来说, cookie 是一种存储方式, session 是会话记录。它们不应该看成一个维度的概念
相同点就是它们都可以用来存储用户信息。
cookie 安全性、存储量有一定限制,但不会占用服务端资源。
session 安全性高、存储信息大,认证会话信息一般都存放在 session。
cookies 只是一种可以用来实现 session 的方式,但并不是唯一,理论上只要 sessionId 可以通过其他安全方式传输到服务端就行。
我也是比较 反对直接拿 cookie 和 session 做对比的
因此笔者认为,如果非要加一层关系,那么可以看成 协作互补

什么是 Token ?

说到 token ,这里必须说一下 token 可以简单看成 2 大类型:
一种是本身不携带信息的token(传统token);
一种是本身就携带用户或认证信息的 token(例如JWT);
sessionId 就可以看成一个传统的 token

token 就是一个令牌,前端请求发送到服务端,验证成功后,后端会生成一个 token 给前端,前端下次请求(有效期内)只需要带着这个 token 就可以访问后端API。
对于传统的 Token 来讲,服务端拿到 token 后需要去查数据库(Mysql、Redis等)校验是否过期或者是否有效
对于JWT这种类型的 Token 来讲,服务端本身是不存储信息的,直接通过解密和验证JWT即可。

Session VS Token ?

很多人直接把这两者进行比较,这样容易受误导。因为 Token 是有不同的实现方式,有的携带认证信息,有的不携带认证信息,那么在比较的时候,就要区分开来。

  1. session 是把会话信息到了服务端, 让本身无状态的 HTTP 变得有状态, 而 Token 是为了让服务端无状态.
  2. session 存储用户信息到服务端后,返回 sessionId 给前端,用于 sessionId 的随机性,所以可以看成 session 存储是安全的。 传统的 token 也需要存储信息到服务端,sessionId 就可以看成一个传统的 token。而 JWT这类Token 是本身携带信息的 token,无需存储到后端服务器。
  3. session 可以看成 空间换时间, JWT这类Token 可以看成 时间换空间,传统的 token 实际上也占用了空间。
  4. token 实现跨域更方便,因为本身就是让服务端无状态

总结

  1. Cookie 和 Session 不要直接拿来对比, Cookie 是一种前端存储方式,Session 是存在服务端的会话记录。详情看:Cookie 和 Session 到底是什么关系?
  2. Session 与 Token 做比较的时候,也要区分是 传统Token 还是 JWT之类的token

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/94685.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

整数和字符串比较的坑

整数和字符串比较的坑

结果竟然是相同&#xff0c;惊呆了吧&#xff1f; $num1 2023快放假了; $num2 2023;if ($num1 $num2) {echo 相同; } else {echo 不相同; }num2改成字符串类型&#xff0c;结果&#xff1a;不相同&#xff0c;又不懵了吧&#xff1f; $num1 2023快放假了; $num2 2023;if…
阅读更多...
2023年哪款PDF虚拟打印机好用?

2023年哪款PDF虚拟打印机好用?

PDF文档想必大家都不陌生&#xff0c;在工作中经常会用到该格式的文档&#xff0c;那么有哪些方法能制作PDF文档呢&#xff1f;一般都是借助PDF虚拟打印机的&#xff0c;那么有哪些好用的软件呢&#xff1f; pdfFactory不仅为用户提供了丰富的PDF文档生成、打印功能&#xff0…
阅读更多...
BasePopup - Android下打造通用便捷的PopupWindow弹窗库

BasePopup - Android下打造通用便捷的PopupWindow弹窗库

官网 GitHub - razerdp/BasePopup: Android下打造通用便捷的PopupWindow弹窗库 介绍 BasePopup是一个对系统PopupWindow进行封装并改进的弹窗库&#xff0c;它是一个基础库类&#xff0c;有着非常高的自由度与丰富的API&#xff0c;您可以在BasePopup的框架下非常轻松的完成…
阅读更多...
JAVA学习(4)-全网最详细~

JAVA学习(4)-全网最详细~

&#x1f308;write in front&#x1f308; &#x1f9f8;大家好&#xff0c;我是Aileen&#x1f9f8;.希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流. &#x1f194;本文由Aileen_0v0&#x1f9f8; 原创 CSDN首发&#x1f412; 如…
阅读更多...
【k8s】集群搭建篇

【k8s】集群搭建篇

文章目录 搭建kubernetes集群kubeadm初始化操作安装软件(master、所有node节点)Kubernetes Master初始化Kubernetes Node加入集群部署 CNI 网络插件测试 kubernetes 集群停止服务并删除原来的配置 二进制搭建(单master集群)初始化操作部署etcd集群安装Docker部署master节点解压…
阅读更多...
Android 10.0 Launcher3定制化之folder文件夹去掉背景功能实现

Android 10.0 Launcher3定制化之folder文件夹去掉背景功能实现

1.概述 在10.0的系统产品开发rom定制中,在Launcher3的开发中,在Launcher3的folder文件夹中, 在进入文件夹由于背景是白色的,不是很美观,所以要求去掉白色背景,要求背景换成透明的 所以需要从folder文件夹流程中,找到相关的背景设置的地方,去掉相关背景的功能就可以了 …
阅读更多...
在visual studio里配置Qt插件并运行Qt工程

在visual studio里配置Qt插件并运行Qt工程

Qt插件&#xff0c;也叫qt-vsaddin&#xff0c;它以*.vsix后缀名结尾。visual studio简称为VS&#xff0c;从visual studio 2010版本开始&#xff0c;VS支持Qt框架的开发&#xff0c;Qt以插件方式集成到VS里。这里简述在visual studio 2019里配置Qt 5.14.2插件&#xff0c;并配…
阅读更多...
MyBatisCodeHelper Pro3.x新版本插件自由

MyBatisCodeHelper Pro3.x新版本插件自由

1效果图 我的版本为3.2.2 2.资源链接 码云地址点这里 3.使用说明 将我修改好后的MyBatisCodeHelper-Pro-obfuss.jar替换MybatisCodeHelperNew-3.x.x.zip&#xff08;原版本插件&#xff09;\MyBatisCodeHelper-Pro\lib中的MyBatisCodeHelper-Pro-obfuss.jar 4.实现与感谢…
阅读更多...
全志ARM926 Melis2.0系统的开发指引②

全志ARM926 Melis2.0系统的开发指引②

全志ARM926 Melis2.0系统的开发指引② 编写目的4. 编译工具链使用4.1.工具链通用配置4.2.模块的工具链配置4.3.简单的 makefile 5. 固件烧录工具的安装5.1.PhoenixSuit 的安装步骤5.2.检验 USB 驱动安装5.3.使用烧录软件 PhoenixSuit -全志相关工具和资源-.1 全志固件镜像修改工…
阅读更多...
Foxit PDF

Foxit PDF

Foxit PDF 福昕PDF 软件&#xff0c;可以很好的编辑PDF文档。 调整&#xff30;&#xff24;&#xff26;页面大小 PDF文档中&#xff0c;一个页面大&#xff0c;一个页面小 面对这种情况,打开Foxit PDF 右键单击需要调整的页面,然后选择"调整页面大小". 可以选择…
阅读更多...
Java8 Lambda.stream.sorted() 方法使用浅析分享

Java8 Lambda.stream.sorted() 方法使用浅析分享

文章目录 Java8 Lambda.stream.sorted() 方法使用浅析分享sorted() 重载方法一升序降序 sorted() 重载方法二升序降序多字段排序 mock代码 Java8 Lambda.stream.sorted() 方法使用浅析分享 本文主要分享运用 Java8 中的 Lambda.stream.sorted方法排序的使用&#xff01; sorted…
阅读更多...
Go语言面经进阶10问

Go语言面经进阶10问

1.Golang可变参数 函数方法的参数&#xff0c;可以是任意多个&#xff0c;这种我们称之为可以变参数&#xff0c;比如我们常用的fmt.Println()这类函数&#xff0c;可以接收一个可变的参数。可以变参数&#xff0c;可以是任意多个。我们自己也可以定义可以变参数&#xff0c;可…
阅读更多...
Day-06 基于 Docker安装 Nginx 镜像

Day-06 基于 Docker安装 Nginx 镜像

1.去官方公有仓库查询nginx镜像 docker search nginx 2.拉取该镜像 docker pull nginx 3. 启动镜像&#xff0c;使用nginx服务&#xff0c;代理本机8080端口(测试是不是好使) docker run -d -p 8080:80 --name nginx-8080 nginx docker ps curl 127.0.0.1:8080
阅读更多...
[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤

[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤

目录 subprocess.Popen FILE warnings.catch_warnings site._Printer 这题很明显就是 SSTI了 源代码 我们试试看 {{7*7}} 然后我们就开始吧 原本我的想法是直接{{url_for.__globals__}} 但是回显是直接500 猜测过滤 我们正常来吧 {{"".__class__}} 查看当前…
阅读更多...
MySQL索引视图

MySQL索引视图

索引 索引是一种特殊的数据库结构&#xff0c;可以用来快速查询数据库表中的特定记录。索引是提高数据库性能的重要方式。MySQL中&#xff0c;所有的数据类型都可以被索引&#xff0c;MySQL的索引包括普通索引、唯一性索引、全文索引、单列索引、多列索引和空间索引等。 索引…
阅读更多...
CSS3与HTML5

CSS3与HTML5

box-sizing content-box&#xff1a;默认&#xff0c;宽高包不含边框和内边距 border-box&#xff1a;也叫怪异盒子&#xff0c;宽高包含边框和内边距 动画&#xff1a;移动translate&#xff0c;旋转、transform等等 走马灯&#xff1a;利用动画实现animation&#xff1a;from…
阅读更多...
雷达编程实战之提高探测速度

雷达编程实战之提高探测速度

有效帧频率作为雷达一个非常核心的指标&#xff0c;它代表了雷达探测识别的速度&#xff0c;速度越快&#xff0c;后级各项智能驾驶功能就能得到更快、更有效的判断。本篇文章首先从硬件的角度&#xff0c;提供了一种合理利用片上资源提高探测识别速度的常用方法&#xff0c;然…
阅读更多...
LCR 069.山峰数组的峰顶索引

LCR 069.山峰数组的峰顶索引

​​题目来源&#xff1a; leetcode题目&#xff0c;网址&#xff1a;LCR 069. 山脉数组的峰顶索引 - 力扣&#xff08;LeetCode&#xff09; 解题思路&#xff1a; 二分查找即可。 解题代码&#xff1a; class Solution {public int peakIndexInMountainArray(int[] arr) {…
阅读更多...
SSL/TLS介绍以及wireshark抓包TLS Handshake报文

SSL/TLS介绍以及wireshark抓包TLS Handshake报文

文章目录 1.概念1.1 SSL/TLS发展历史1.2 TLS两个阶段1.3 TLS报文头 2.TLS Handshake2.1 Handshake具体过程2.1.1 单向认证和双向认证2.1.2 复用TLS协商结果Session Identifier&#xff08;会话标识符&#xff09;Session Ticket&#xff08;会话票据&#xff09; 2.2 Handshake…
阅读更多...
基于j2ee的交通管理信息系统/交通管理系统

基于j2ee的交通管理信息系统/交通管理系统

摘 要 随着当今社会的发展&#xff0c;时代的进步&#xff0c;各行各业也在发生着变化&#xff0c;比如交通管理这一方面&#xff0c;利用网络已经逐步进入人们的生活。传统的交通管理&#xff0c;都是工作人员线下手工统计&#xff0c;这种传统方式局限性比较大且花费较多。计…
阅读更多...
最新文章

Copyright @ 2022~2023