cookie、session、token、JWT简介

原创 于 2025-04-11 13:46:27 发布 · 698 阅读 · 16 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#鉴权

(1)cookie

  • 定义:Cookie 是由服务器发送到用户浏览器并保存在本地的一小段文本信息。它通常包含有关用户的信息,如登录状态、浏览偏好等。

  • 工作原理:当用户访问一个网站时,服务器可以通过在响应头中设置Set-Cookie字段来发送 Cookie 到浏览器。浏览器会将 Cookie 存储在本地,并且在后续对同一网站的请求中,会在请求头中包含相应的 Cookie 信息,以便服务器能够识别用户。

  • 作用

    • 用户身份识别:可以用于记录用户的登录状态,例如,用户登录后,服务器会设置一个包含用户身份信息的 Cookie,下次用户访问时,服务器通过这个 Cookie 就能知道用户是谁,从而为用户提供个性化的服务。

    • 记录用户偏好:网站可以通过 Cookie 记录用户的浏览偏好,如字体大小、页面布局等,以便为用户提供一致的浏览体验。

  • 缺点:Cookie 的大小通常有限制,一般不超过 4KB。而且由于 Cookie 是存储在用户本地的,存在一定的安全风险,如可能被用户篡改或被恶意网站窃取。

(2)session

  • 定义:Session 是服务器端用于跟踪用户会话的一种机制。它通过一个唯一的会话 ID 来标识每个用户的会话,将用户相关的数据存储在服务器端。

  • 工作原理:当用户访问网站时,服务器会为用户创建一个唯一的 Session ID,并将其发送给浏览器。浏览器通常会将这个 Session ID 存储在 Cookie 中(也可以通过 URL 重写等方式传递)。在后续的请求中,浏览器会将 Session ID 发送给服务器,服务器根据这个 Session ID 来查找对应的用户会话数据,从而实现对用户状态的跟踪。

  • 作用

    • 购物车功能实现:在电子商务网站中,用户将商品添加到购物车,这些购物车信息就可以存储在 Session 中。这样,无论用户在网站的哪个页面,都能访问到自己购物车中的商品,直到用户完成购物或清空购物车。

    • 多页面表单数据传递:当用户填写一个多页面的表单时,Session 可以用来存储用户在前面页面已经填写的数据,确保数据在整个表单提交过程中不会丢失。

  • 缺点:由于 Session 数据存储在服务器端,当用户量较大时,可能会占用较多的服务器资源。另外,如果服务器出现故障或重启,未保存的 Session 数据可能会丢失。

例如:

 session = {AIQEQIEQE:{'name':'小明','age':20, 'amount':1000}}
 ​
 # AIQEQIEQE就是服务端给客户端的标识,下次客户端只要带着AIQEQIEQE这个标识过来,服务端就可以通过session['AIQEQIEQE']获取这个标识对应的信息,获取到了,则判断这是一个合格的客户端,否则就给予权限提示。

(3)token

  • 定义:Token 是一种用于验证用户身份和授权访问资源的字符串。它是一种安全机制,用于在不同的系统或服务之间传递用户的身份信息和权限信息。

  • 工作原理:用户在登录时,系统会验证用户的凭据(如用户名和密码)。如果验证成功,系统会生成一个唯一的 Token,并将其返回给用户。用户在后续的请求中,需要将这个 Token 包含在请求头中,服务器通过验证 Token 的有效性来确定用户的身份和权限,从而决定是否允许用户访问请求的资源。

  • 作用

    • 身份验证:确保只有合法的用户能够访问系统资源。通过验证 Token 的有效性,服务器可以确定请求是否来自已登录的用户。

    • 授权:Token 可以携带用户的权限信息,服务器根据这些信息来判断用户是否有权执行特定的操作,如访问特定的文件、修改数据等。

  • 类型:常见的 Token 类型有访问令牌(Access Token)、刷新令牌(Refresh Token)等。访问令牌用于获取对资源的访问权限,通常有较短的有效期;刷新令牌用于在访问令牌过期时获取新的访问令牌,有效期一般较长。

(4)JWT(JSON Web Token)

  • 定义:JWT 是一种基于 JSON 的开放标准(RFC 7519),用于在各方之间安全地传输信息。它通常用于在身份验证过程中,将用户的身份信息从认证服务器传递到客户端或其他服务器。

  • 工作原理:JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。头部包含了令牌的类型和使用的加密算法等信息;载荷包含了用户的身份信息、权限信息以及其他相关数据,以 JSON 格式存储;签名是通过使用密钥对头部和载荷进行加密生成的,用于验证令牌的完整性和真实性。客户端在收到 JWT 后,将其存储在本地,如浏览器的本地存储或 Cookie 中。在后续的请求中,客户端将 JWT 添加到请求头中,服务器接收到请求后,通过验证签名来确保 JWT 的有效性,然后从载荷中获取用户的身份和权限信息,进行相应的授权和处理。

  • 作用

    • 跨域身份验证:由于 JWT 是自包含的,并且可以通过 HTTP 头在不同的域之间传递,因此它非常适合用于跨域应用的身份验证和授权。

    • 单点登录(SSO):在多个相关的系统或应用中,用户只需在一个系统中登录一次,就可以使用 JWT 在其他系统中进行身份验证,实现单点登录的功能。

  • 优点:JWT 具有简洁、紧凑的特点,便于在不同的系统之间传递。同时,由于它是基于 JSON 格式的,易于解析和处理。此外,JWT 的签名机制保证了数据的完整性和真实性,只有拥有正确密钥的服务器才能验证和解析 JWT。

总的来说,Token 是一个较为宽泛的概念,而 JWT 是一种具体的、标准化的 Token 实现方式,它在 Web 应用的身份验证和授权场景中具有广泛的应用。

Ws_9901
关注
网络安全-CookieJWT
Saki_Python的博客
02-19 1199
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Fatter$hday的博客
05-24 4077
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3713
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 1635
CookieSessionToken详细介绍
CookieSessionTokenJwt详解
weixin_53952534的博客
01-25 1102
cookiesessiontokenjwt的区别和联系
一文彻底搞懂cookiesessiontokenjwt
酷奇的博客
03-02 1520
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 TokenJWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证TokenJWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、TokenJWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
SpringBoot整合JWT
最新发布
xiximo
03-28 1958
JWT是JSON Web Token的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。JWT可以用于身份验证和授,因为它是数字签名的。
CookieSession组件
m0_71115526的博客
11-22 343
1. cookie是存在于浏览器上的. 保存形式以key:value键值对的形式2. session是存在于服务端的. django中保存在django_session表中. key: 对应session_key字段. value: 对应session_data 还有一个session_date用来保存终止会话时间3. session是基于cookie工作的. 在django中session会告知浏览器以sessionid:随机字符的格式保存数据。
清晰讲解CookieSessionTokenJWT之间的区别
记录分享编程与冲浪知识
01-11 1584
详细介绍Cookie, Session, Token, JWT的知识和应用
cookiejwt解析
web$-小白
07-26 973
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
认证登录之 CookieSessionTokenJWT详解
qq_20236937的博客
03-06 2649
认证登录之 CookieSessionTokenJWT 详解
sessiontokencookieJWT的区别一定要懂
weixin_45709829的博客
04-07 6265
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授给用户,使得用户具有操作某项资源的限 RBAC(Role-Base
CookieSessionTokenJWT、单点登录 详解
weixin_68074170的博客
07-23 2180
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 sessiontoken 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
认证登录之 CookieSessionTokenJWT 详解
热门推荐
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
CookiesessiontokenJWT
mundo.wang的个人博客
10-14 1万+
cookie存储在客户端,请求后,服务器发送回浏览器,浏览器在下次向同一服务器发送请求时,作为参数携带,并发送到服务器上。cookie是一个具体的东西,指的是浏览器实现的一种数据存储功能。cookie是不可跨域的,每个cookie绑定单一的域名。cookie是name=value键值对。session是基于cookie实现的,session存储在服务器端,sessionID 会被存储到客户端的cookie中。
JWT+cookie单点登录
Isonion的博客
09-01 738
Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
一文详解Token,Session,CookieJWT的区别
loseyourself94的博客
04-06 1373
一文详解Token,Session,CookieJWT的区别
CookieSessionTokenJWT
kagurawill的博客
12-30 1738
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授(Authorization) 用户授予第三方应用访问该用户某些资源...
CookieSessionTokenJWT 、JWE详解
weixin_52438357的博客
01-31 1645
Cookie是由web服务器创建并存储在用户浏览器中的一小段文本信息。当浏览器访问服务器时,服务器会向浏览器发送Cookie。此后,每当浏览器再次访问同一服务器时,浏览器会自动将该Cookie发送到服务器,以此来通知服务器用户之前的活动。无状态的HTTP:HTTP协议本身是无状态的,这意味着每次请求都是独立的,服务器无法从一个请求中了解到另一个请求的信息。因此,需要某种机制来维持一个用户的状态跨多个页面请求或网站访问。会话管理:Session是一种在服务器端保持用户状态的机制。
一文搞懂CookieSessionTokenJwt以及实战
m0_48069349的博客
04-04 876
汇总:CookieSession 是传统的基于服务器的会话管理机制,而 TokenJWT 则是更为灵活和安全的身份验证和授机制,适用于分布式系统和前后端分离的应用场景。浏览器存储此Cookie,并在随后的请求中将其发送回服务器,允许服务器识别用户并在多个页面加载中保持他们的登录状态。跨站请求伪造(CSRF)是一种攻击,攻击者可以利用用户已经认证的身份在用户不知情的情况下执行非预期的操作。JWT可用于认证和授用户,它们是自包含的,意味着验证它们所需的所有信息都包含在令牌本身中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值