精华内容
下载资源
问答
  • 测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
  • cookiesessiontoken的真正区别

    万次阅读 多人点赞 2019-05-09 11:21:24
    不过这和session id没有本质区别啊, 任何人都可以可以伪造, 所以我得想点儿办法, 让别人伪造不了。 那就对数据做一个签名吧, 比如说我用HMAC-SHA256 算法,加上一个只有我才知道的密钥, 对数据做一个签名, ...

    发展史

    1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮。

    2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串,每个人收到的都不一样, 每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了

    3、这样大家很嗨皮了,可是服务器就不嗨皮了,每个人只需要保存自己的session id,而服务器要保存所有人的session id !如果访问服务器多了, 就得由成千上万,甚至几十万个。

    这对服务器说是一个巨大的开销 , 严重的限制了服务器扩展能力, 比如说我用两个机器组成了一个集群, 小F通过机器A登录了系统, 那session id会保存在机器A上, 假设小F的下一次请求被转发到机器B怎么办?机器B可没有小F的 session id啊。

    有时候会采用一点小伎俩: session sticky , 就是让小F的请求一直粘连在机器A上, 但是这也不管用, 要是机器A挂掉了, 还得转到机器B去。

    那只好做session 的复制了, 把session id 在两个机器之间搬来搬去, 快累死了。

    后来有个叫Memcached的支了招:把session id 集中存储到一个地方, 所有的机器都来访问这个地方的数据, 这样一来,就不用复制了, 但是增加了单点失败的可能性, 要是那个负责session 的机器挂了, 所有人都得重新登录一遍, 估计得被人骂死。

    也尝试把这个单点的机器也搞出集群,增加可靠性, 但不管如何, 这小小的session 对我来说是一个沉重的负担

    4、于是有人就一直在思考, 我为什么要保存这可恶的session呢, 只让每个客户端去保存该多好?

    可是如果不保存这些session id , 怎么验证客户端发给我的session id 的确是我生成的呢? 如果不去验证,我们都不知道他们是不是合法登录的用户, 那些不怀好意的家伙们就可以伪造session id , 为所欲为了。

    嗯,对了,关键点就是验证 !

    比如说, 小F已经登录了系统, 我给他发一个令牌(token), 里边包含了小F的 user id, 下一次小F 再次通过Http 请求访问我的时候, 把这个token 通过Http header 带过来不就可以了。

    不过这和session id没有本质区别啊, 任何人都可以可以伪造, 所以我得想点儿办法, 让别人伪造不了。

    那就对数据做一个签名吧, 比如说我用HMAC-SHA256 算法,加上一个只有我才知道的密钥, 对数据做一个签名, 把这个签名和数据一起作为token , 由于密钥别人不知道, 就无法伪造token了。

    这个token 我不保存, 当小F把这个token 给我发过来的时候,我再用同样的HMAC-SHA256 算法和同样的密钥,对数据再计算一次签名, 和token 中的签名做个比较, 如果相同, 我就知道小F已经登录过了,并且可以直接取到小F的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者:对不起,没有认证。

    Token 中的数据是明文保存的(虽然我会用Base64做下编码, 但那不是加密), 还是可以被别人看到的, 所以我不能在其中保存像密码这样的敏感信息。

    当然, 如果一个人的token 被别人偷走了, 那我也没办法, 我也会认为小偷就是合法用户, 这其实和一个人的session id 被别人偷走是一样的。

    这样一来, 我就不保存session id 了, 我只是生成token , 然后验证token , 我用我的CPU计算时间获取了我的session 存储空间 !

    解除了session id这个负担, 可以说是无事一身轻, 我的机器集群现在可以轻松地做水平扩展, 用户访问量增大, 直接加机器就行。这种无状态的感觉实在是太好了!

    Cookie

    cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。

    cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。

    Session

    session 从字面上讲,就是会话。这个就类似于你和一个人交谈,你怎么知道当前和你交谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。

    session 也是类似的道理,服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。

    服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

    Token

    在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。

    以下几点特性会让你在程序中使用基于Token的身份验证

    1. 无状态、可扩展

    2. 支持移动设备

    3. 跨程序调用

    4. 安全

    那些使用基于Token的身份验证的大佬们

    大部分你见到过的API和Web应用都使用tokens。例如Facebook, Twitter, Google+, GitHub等。

    Token的起源

    在介绍基于Token的身份验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。

    基于服务器的验证

    我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。

    在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。

    随着Web,应用程序,已经移动端的兴起,这种验证的方式逐渐暴露出了问题。尤其是在可扩展性方面。

    基于服务器验证方式暴露的一些问题

    1. Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。

    2. 可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。

    3. CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。

    4. CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。

    在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。

    基于Token的验证原理

    基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。

    这种概念解决了在服务端存储信息时的许多问题

    NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。

    基于Token的身份验证的过程如下:

    1. 用户通过用户名和密码发送请求。

    2. 程序验证。

    3. 程序返回一个签名的token 给客户端。

    4. 客户端储存token,并且每次用于每次发送请求。

    5. 服务端验证token并返回数据。

    每一次请求都需要token。token应该在HTTP的头部发送从而保证了Http请求无状态。我们同样通过设置服务器属性Access-Control-Allow-Origin:* ,让服务器能接受到来自所有域的请求。

    需要主要的是,在ACAO头部标明(designating)*时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。

    实现思路:

    1. 用户登录校验,校验成功后就返回Token给客户端。

    2. 客户端收到数据后保存在客户端

    3. 客户端每次访问API是携带Token到服务器端。

    4. 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

    当我们在程序中认证了信息并取得token之后,我们便能通过这个Token做许多的事情。

    我们甚至能基于创建一个基于权限的token传给第三方应用程序,这些第三方程序能够获取到我们的数据(当然只有在我们允许的特定的token)

    Token的优势

    无状态、可扩展

    在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。

    如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成一些拥堵。

    但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。

    安全性

    请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。

    token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。

    可扩展性

    Tokens能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。

    使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。

    多平台跨域

    我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。

    Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.

    只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。

    Access-Control-Allow-Origin: *      

    基于标准创建token的时候,你可以设定一些选项。我们在后续的文章中会进行更加详尽的描述,但是标准的用法会在JSON Web Tokens体现。

    最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在未来的使用中你可以真正的转换你的认证机制。

    展开全文
  • Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内...

    Cookie(后端写,前端请求携带)

    cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。

    cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。

    Session

    session 从字面上讲,就是会话。这个就类似于你和一个人交谈,你怎么知道当前和你交谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。

    session 也是类似的道理,服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。

    服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

    Token

    Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。

    Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。

    使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

    展开全文
  • cookie的由来 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。 怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带 自己通行证。这样服务器就能从通行证上确认客户身份...

    cookie的由来

    由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。
    怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带
    自己通行证。这样服务器就能从通行证上确认客户身份了
    
    cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据
    存储功能。cookie的保存时间,可以自己在程序中设置。如果没有设置保存时
    间,应该是一关闭浏览器,cookie就自动消失。
    
    Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录
    该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器
    会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
    Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务
    器还可以根据需要修改Cookie的内容。
    
    
    
    Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息,
    通知客户端保存Cookie。在同源策略下当浏览器再请求服务器时,
    浏览器把请求的网址连同该Cookie一同提交给服务器。
    服务器通过检查Cookie来获取用户状态。
    Cookie一般是被浏览器以txt纯文本的形式存储在电脑硬盘中
    

    session

    Session是另一种记录客户状态的机制,不同的是Cookie
    保存在客户端浏览器中,而Session保存在服务器上
    
    如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,
    那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份
    
    session有一个缺陷:如果web服务器做了负载均衡
    那么下一个操作请求到了另一台服务器的时候session会丢失。
    
    Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,
    会对服务器造成压力。
    

    Cookie与Session的区别和联系

    1、 cookie数据存放在客户的浏览器上,session数据放在服务器上
    2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行
    	 COOKIE欺骗,考虑到安全应当使用session
    3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。
    	考虑到减轻服务器性能方面,应当使用COOKIE
    4、单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K	 
    
    Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客
    户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session
    的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部
    发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完
    全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用。
    

    token

    在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式

    以下几点特性会让你在程序中使用基于Token的身份验证
    
    1.无状态、可扩展
    
    2.支持移动设备
    
    3.跨程序调用
    
    4.安全
    

    项目中使用token总结

    使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。
    
    1.前端使用用户名跟密码请求首次登录
    
    2.后服务端收到请求,去验证用户名与密码是否正确
    
    3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、
    	过期时间生成一个 Token,再把这个 Token 发送给前端
    
    4.前端收到 返回的Token ,把它存储起来,比如放在 Cookie 里或者 Local Storage 里
    
    5.前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页。
    	有则请求获取用户信息,改变登录状态
    	
    6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Token
    
    7.服务端收到请求,然后去验证前端请求里面带着的 Token。没有或者 token 过期,
    	返回401。如果验证成功,就向前端返回请求的数据。
    
    8.前端得到 401 状态码,重定向到登录页面。
    
    

    token的起源

    基于服务器的验证
    我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,
    从而辨别客户端的身份。
    
    在这之前,程序都是通过在服务端存储的登录信息来辨别请求的
    。这种方式一般都是通过存储Session来完成。
    
    基于服务器验证方式暴露的一些问题
    1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。
    当越来越多的用户发请求时,内存的开销也会不断增加。
    
    2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。
    
    3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会
    是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。
    
    4.CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,
    并且能够被利用其访问其他的网站。
    

    点击进入原网址查看详细介绍

    展开全文
  • CookieSessionToken区别

    千次阅读 多人点赞 2018-04-10 09:02:23
    Rest是stateless的,也就是app不需要像browser那样用cookie来保存Session,因此用Session token来标示自己就够了,session/state由api server的逻辑处理。如果你的后端不是stateless的rest api,那么你可能需要在app里...

    1、前言

    众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种持久化信息:比如用户信息、聊天历史记录、好友列表等等,长连接则是用于实时的聊天消息或指令的接收和发送。

    作为IM系统中不可或缺的技术,Http短连的重要性无可替代,但Http作为传统互联网信息交换技术,一些典型的概念比如:Cookie、Session、Token,对于IM新手程序员来说并不容易理解。鉴于Http短连接在IM系统中的重要性,如何正确地理解Cookie、Session、Token这样的东西,决定了您的技术方案能否找到最佳实践。本文将从基础上讲解这3者的原理、用途以及正确地应用场景。


    2、什么是Cookie?

    Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾,带宽等限制不存在了,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态(简称:保活)。于是,在浏览器发展初期,为了适应用户的需求技术上推出了各种保持 Web 浏览状态的手段,其中就包括了 Cookie 技术。Cookie 在计算机中是个存储在浏览器目录中的文本文件,当浏览器运行时,存储在 RAM 中发挥作用 (此种 Cookies 称作 Session Cookies),一旦用户从该网站或服务器退出,Cookie 可存储在用户本地的硬盘上 (此种 Cookies 称作 Persistent Cookies)。

    Cookie 起源:1993 年,网景公司雇员 Lou Montulli 为了让用户在访问某网站时,进一步提高访问速度,同时也为了进一步实现个人化网络,发明了今天广泛使用的 Cookie。(所以,适当的偷懒也会促进人类计算机发展史的一小步~)

    Cookie时效性:目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除。

    Cookie使用限制:Cookie 必须在 HTML 文件的内容输出之前设置;不同的浏览器 (Netscape Navigator、Internet Explorer) 对 Cookie 的处理不一致,使用时一定要考虑;客户端用户如果设置禁止 Cookie,则 Cookie 不能建立。 并且在客户端,一个浏览器能创建的 Cookie 数量最多为 300 个,并且每个不能超过 4KB,每个 Web 站点能设置的 Cookie 总数不能超过 20 个。

    执行流程:

    A:首先,客户端会发送一个http请求到服务器端;

    B: 服务器端接受客户端请求后,发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部;

    C:在客户端发起的第二次请求(注意:如果服务器需要我们带上Cookie,我们就需要在B步骤上面拿到这个Cookie然后作为请求头一起发起第二次请求),提供给了服务器端可以用来唯一标识客户端身份的信息。这时,服务器端也就可以判断客户端是否启用了cookies。尽管,用户可能在和应用程序交互的过程中突然禁用cookies的使用,但是,这个情况基本是不太可能发生的,所以可以不加以考虑,这在实践中也被证明是对的。

    为了方便理解,可以先看下这张流程执行图加深概念:

    那么,在浏览器上面的请求头和Cookie在那?下图给大家截取了其中一种:

    3、Cookie 和 Session

    众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢?

    比如在淘宝的某个页面中,你进行了登陆操作。当你跳转到商品页时,服务端如何知道你是已经登陆的状态?

    4、关于Session

    Cookie 虽然很方便,但是使用 Cookie 有一个很大的弊端,Cookie 中的所有数据在客户端就可以被修改,数据非常容易被伪造,那么一些重要的数据就不能存放在 Cookie 中了,而且如果 Cookie 中数据字段太多会影响传输效率。为了解决这些问题,就产生了 Session,Session 中的数据是保留在服务器端的。

    总之:Session是对于服务端来说的,客户端是没有Session一说的。Session是服务器在和客户端建立连接时添加客户端连接标志,最终会在服务器软件(Apache、Tomcat、JBoss)转化为一个临时Cookie发送给给客户端,当客户端第一请求时服务器会检查是否携带了这个Session(临时Cookie),如果没有则会添加Session,如果有就拿出这个Session来做相关操作。

    Session 的运作通过一个session_id来进行。session_id通常是存放在客户端的 Cookie 中,比如在 express 中(说的是Nodejs),默认是connect.sid这个字段,当请求到来时,服务端检查 Cookie 中保存的 session_id 并通过这个 session_id 与服务器端的 Session data 关联起来,进行数据的保存和修改。

    这意思就是说,当你浏览一个网页时,服务端随机产生一个 1024 比特长的字符串,然后存在你 Cookie 中的connect.sid字段中。当你下次访问时,Cookie 会带有这个字符串,然后浏览器就知道你是上次访问过的某某某,然后从服务器的存储中取出上次记录在你身上的数据。由于字符串是随机产生的,而且位数足够多,所以也不担心有人能够伪造。伪造成功的概率比坐在家里编程时被邻居家的狗突然闯入并咬死的几率还低。

    一个完整的Cookie+Session应用过程如下图所示:

    Session 可以存放在:

    1)内存;

    2)Cookie本身;

    3)redis 或 memcached 等缓存中;

    4)数据库中。

    线上来说,缓存的方案比较常见,存数据库的话,查询效率相比前三者都太低,不推荐;Cookie Session 有安全性问题,下面会提到。

    传统的身份验证方法从最早的Cookie到Session以及给Session Cookie做个加密,接下来我们来看看Token认证。

    5、什么是Token?

    5.1 Token的起源

    诸如Ember,Angular,Backbone之类的Web前端框架类库正随着更加精细的Web应用而日益壮大。正因如此,服务器端的组建也正正在从传统的任务中解脱,转而变的更像API。API使得传统的前端和后端的概念解耦。开发者可以脱离前端,独立的开发后端,在测试上获得更大的便利。这种途径也使得一个移动应用和网页应用可以使用相同的后端。

    当使用一个API时,其中一个挑战就是认证(authentication)。在传统的web应用中,服务端成功的返回一个响应(response)依赖于两件事。一是,他通过一种存储机制保存了会话信息(Session)。每一个会话都有它独特的信息(id),常常是一个长的,随机化的字符串,它被用来让未来的请求(Request)检索信息。其次,包含在响应头(Header)里面的信息使客户端保存了一个Cookie。服务器自动的在每个子请求里面加上了会话ID,这使得服务器可以通过检索Session中的信息来辨别用户。这就是传统的web应用逃避HTTP面向无连接的方法(This is how traditional web applications get around the fact that HTTP is stateless)。

    API应该被设计成无状态的(Stateless)。这意味着没有登陆,注销的方法,也没有sessions,API的设计者同样也不能依赖Cookie,因为不能保证这些request是由浏览器所发出的。自然,我们需要一个新的机制。Token这种东西就应运而生了。

    5.2 Token是什么

    token是用户身份的验证方式,我们通常叫它:令牌。最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库。

    我们可以把Token想象成一个安全的护照。你在一个安全的前台验证你的身份(通过你的用户名和密码),如果你成功验证了自己,你就可以取得这个。当你走进大楼的时候(试图从调用API获取资源),你会被要求验证你的护照,而不是在前台重新验证。

    简单来说,就像下图这样:

    5.3 Token的应用场景

    Token的使用流程:

    A:当用户首次登录成功(注册也是一种可以适用的场景)之后, 服务器端就会生成一个 token 值,这个值,会在服务器保存token值(保存在数据库中),再将这个token值返回给客户端;

    B:客户端拿到 token 值之后,进行本地保存。(SP存储是大家能够比较支持和易于理解操作的存储);

    C:当客户端再次发送网络请求(一般不是登录请求)的时候,就会将这个 token 值附带到参数中发送给服务器;

    D:服务器接收到客户端的请求之后,会取出token值与保存在本地(数据库)中的token值做对比。

    Token的身份认证逻辑:

    对比一:如果两个 token 值相同, 说明用户登录成功过!当前用户处于登录状态!

    对比二:如果没有这个 token 值, 则说明没有登录成功;

    对比三:如果 token 值不同: 说明原来的登录信息已经失效,让用户重新登录。

    5.4 Token的安全性

    我们可以保存认证过的Token记录在服务器上,来添加一个附加的安全层,然后在每一步验证Token的时候验证这个记录(比如每次客户端请求API时检查这个Token的合法性)。这将会阻止第三方伪装一个Token,也将会使得服务器可以失效一个Token。

    6、Cookie和Session的区别小结

    1)cookie数据存放在客户的浏览器上,session数据放在服务器上;

    2)cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session;

    3)session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie;

    4)单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

    所以个人建议:

    将登陆信息等重要信息存放为session;

    其他信息如果需要保留,可以放在cookie中。

    7、Token 和 Session 的区别小结

    Session和 token并不矛盾,作为身份认证token安全性比Session好,因为每个请求都有签名还能防止监听以及重放攻击,而Session就必须靠链路层来保障通讯安全了。如上所说,如果你需要实现有状态的会话,仍然可以增加session来在服务器端保存一些状态

    App通常用restful api跟server打交道。Rest是stateless的,也就是app不需要像browser那样用cookie来保存Session,因此用Session token来标示自己就够了,session/state由api server的逻辑处理。如果你的后端不是stateless的rest api,那么你可能需要在app里保存Session.可以在app里嵌入webkit,用一个隐藏的browser来管理cookie Session.

    Session是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓Session认证只是简单的把User信息存储到Session里,因为SID的不可预测性,暂且认为是安全的。这是一种认证手段。而Token,如果指的是OAuth Token或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对App。其目的是让 某App有权利访问 某用户 的信息。这里的Token是唯一的。不可以转移到其它App上,也不可以转到其它 用户 上。转过来说Session。Session只提供一种简单的认证,即有此SID,即认为有此User的全部权利。是需要严格保密的,这个数据应该只保存在站方,不应该共享给其它网站或者第三方App。所以简单来说,如果你的用户数据可能需要和第三方共享,或者允许第三方调用API接口,用Token。如果永远只是自己的网站,自己的App,用什么就无所谓了。

    Token就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,就会自动调用cookie自动登录用户名;session和cookie差不多,只是Session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号。Session的状态是存储在服务器端,客户端只有Session id;而Token的状态是存储在客户端。

    展开全文
  • SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie...
  • 什么是 Cookie HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个...
  • 文章目录1 Cookie2 session3 Token基于Token的身份验证的过程如下:Tokens的优势4 cookiesessiontoken之间的关系4.1 图解流程4.2 CookieSessionToken4.3 区别cookiesession区别sessiontokentokencookie...
  • 最近写的项目是和用户权限与认证有关,所以学习了很多有关 CookieSession 以及 Token 的相关知识,在这里做一个梳理。本文包括基础概念、区别与联系。对于实际如何在项目中进行实现,虽然在我之前的博客中有所体现...
  • sessioncookietoken区别

    万次阅读 多人点赞 2016-05-24 10:16:30
    token就是令牌,比如你授权(登录)一个程序时,他就是个依据,...sessioncookie差不多,只是session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号.Session的状态是存储在服务器
  • 一文快速理解Session,Cookie,Token区别

    千次阅读 2019-02-02 22:52:18
    一. 为什么需要Cookie?...当用户登录后,服务器会发送包含登录凭据的Cookie到用户浏览器客户端,而浏览器对该Cookie进行某种形式的存储(内存或硬盘)。用户再次访问该网站时,浏览器会发送该Cookie到...
  • 测试面试必问: tokencookiesession 有什么区别? 1.解释 1>Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie由服务器生成,...
  • SessionCookieToken便是对HTTP无状态的一种补充; 2.Cookie: Cookie是浏览器对于一些信息的键值对形式保存,当浏览器关闭,Cookie也就删除了; 3. Session: Session是服务器中保存的对象(Tomcat保存在...
  • 主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
  • token cookie session区别 大家好,我是酷酷的韩~ 一.Cookie简介 cookie是一个非常具体的东西,指的是浏览器里能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cokkie由服务器生成,发送给浏览器,...
  • 本文转载自:sessioncookietoken区别及联系 session   session的中文翻译是“会话”,当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器...
  • Cookie cookie 是一个非常具体的东西,指的是浏览器中能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能 Cookie的内容是保存一小段文本信息,这些文本信息组成一份通行证。它是客户端对于无状态协议的一种...
  • Cookie,sessiontoken的机制详解及区别

    千次阅读 多人点赞 2020-08-05 10:46:32
    Cookie是网页浏览器用来保存用户信息的文件,可以保存比如用户是谁,购物车有哪些商品等。 Session是一次会话,会话是指我们访问网站的一个周期。 比如用户打开一个浏览器访问某个位的站点。 在这个站点点击多个...
  • cookiesession区别 存储方式:cookie 数据存放在客户的浏览器上,session 数据放在服务器上; 安全性:cookie 是本地存储,不是很安全,别人可以分析存放在本地的 cookie 并进行欺骗; 存储大小:很多浏览器...
  • 为什么需要cookie session token 1、http是无状态协议,他不会去记住或者认识是谁正在访问它,对于大型电商平台,需要区分每一个用户才可以把他们需要的东西加入他们的购物车。因此先辈们发明的cookie。 2、当...
  • 一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
  • sessioncookietoken以及JWT

    千次阅读 2020-05-13 14:16:17
    主要讲token和jwt技术,关于sessioncookie文章很多,简单提一下。 sessioncookie 现在一般都是sessioncookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是...
  • 若验证成功,api返回status:ok,同时返回这个人的信息(name、password)和token值。 前端将token值利用浏览器存储,并保存到浏览器里。 将token值利用vuex的存储起来,目的,在以后的http请求头里加上token值,...
  • 不管是前端还是后端,总要和会话打交道,那么,就从会话开始,聊聊常用的验证方式:CookieSessionToken。 在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程,TCP的三次握手就创建了一个会话,TCP...
  • 发展史 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器、不需要记录谁在某一段时间里都浏览了什么文档。... 但是随着交互式Web应用的兴起,像在线购物网站... 22期 “详细了解 Cookie Session Token
  • CookieSession区别 安全性: SessionCookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符...
  • Cookie,SessionToken机制和区别.

    千次阅读 2017-11-01 23:45:56
    1.背景介绍 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie ...当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服...
  • CookieSessionToken之间的关系 Cookie cookie是保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把cookie以key-value形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 44,421
精华内容 17,768
关键字:

cookiesessiontoken区别