cookie,session,token

 

session,cookie和token究竟是什么

 

笔记本:

接口测试

 

创建时间:

2020-09-07 20:40

更新时间:

2021-05-19 15:12

作者:

baiping85@sina.com

 

 

URL:https://segmentfault.com/a/1190000017831088

 

 

sessioncookietoken究竟是什么

 

http是一个无状态协议

什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.htmlwww.zhihu.com/index.html关联起来,必须使用某些手段和工具

 

cookiesession

由于http的无状态性,为了使某个域名下的所有网页能够共享某些数据,

session和cookie出现了。客户端访问服务器的流程如下

首先,客户端会发送一个http请求到服务器端。

服务器端接受客户端请求后,建立一个session,并发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部。该头部包含了 sessionId。Set-Cookie格式如下,具体请看Cookie详解

Set-Cookie: value[; expires=date][; domain=domain][; path=path][;

secure]

在客户端发起的第二次请求,假如服务器给了set-Cookie,浏览器会自动在请求头中添加cookie

服务器接收请求,分解cookie,验证信息,核对成功后返回response给客户端

 
   

 

 

注意

cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。

现在大多都是Session + Cookie,但是只用session不用cookie,或是只用cookie,不用session在理论上都可以保持会话状态。可是实际中因为多种

 

原因,一般不会单独使用

用session只需要在客户端保存一个id,实际上大量数据都是保存在服务 端。如果全部用cookie,数据量大的时候客户端是没有那么多空间的。 如果只用cookie不用session,那么账户信息全部保存在客户端,一旦被劫持,全部信息都会泄露。并且客户端数据量变大,网络传输的数据量也会变大

 

 
   

token

token 也称作令牌,由uid+time+sign[+固定参数]

token 的认证方式类似于临时的证书签名, 并且是一种服务端无状态的认证方式, 非常适合于 REST API 的场景. 所谓无状态就是服务端并不会保存身份认证相关的数据。

 

组成

uid: 用户唯一身份标识

time: 当前时间的时间戳

sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接

固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库

 

存放

token在服务器一般存于数据库中

token认证流程

token 的认证流程与cookie很相似

用户登录,成功后服务器返回Token给客户端。客户端收到数据后保存在客户端

客户端再次访问服务器,将token放入headers中

服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

 

 

 
   

 

 

分布式情况下的sessiontoken

我们已经知道session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。

 

负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。

而token是无状态的,token字符串里就保存了所有的用户信息

客户端登陆传递信息给服务端,服务端收到后把用户信息加密(token 传给客户端,客户端将token存放于localStroage等容器中。客户端每次访问都传递token,服务端解密token,就知道这个用户是谁了。通过cpu加解密,服务端就不需要存储session占用存储空间,就很好的解决负载均衡多服务器的问题了。这个方法叫做JWT(Json Web Token)

 

总结

 

session存储于服务器,可以理解为一个状态列表,拥有一个唯一识别符号sessionId,通常存放于cookie中。服务器收到cookie后解析出sessionId 再去session列表中查找,才能找到相应session。依赖cookie

cookie类似一个令牌,装有sessionId,存储在客户端,浏览器通常会自动添加。

token也类似一个令牌,无状态,用户信息都被加密到token中,服务器收

到token后解密就可知道是哪个用户。jwt-JSON Web Token只是一个跨域认证的方案-

cookie:保存在浏览器种,有大小限制,有状态;

session:保存在服务器中,服务器有资源开销,分布式、跨系统不好实现 ;                                                                                       Token:客户端可以将Token保存到任何地方,无限制,无状态,利于分布式部署。


__EOF__

本文作者xiaopo
本文链接https://www.cnblogs.com/xiaopo/p/14788506.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
posted @   小破的博客  阅读(62)  评论(0编辑  收藏  举报
编辑推荐:
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
阅读排行:
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· .NET10 - 预览版1新功能体验(一)
点击右上角即可分享
微信分享提示