cookie、session、token

---恢复内容开始---

Token：

一：特点

token的最大特点是随机性、不可预测，软件和黑客一般无法模拟

token一般用在两个地方：一是防止重复提交，二是anti csrf攻击（Cross-site request forgery 跨站点请求伪造）

原理：服务器自动生成token后将token存储在session中，之后将该token发送给客户端（一般通过构造hidden表单）。

防止重复提交：

客户端发送请求给服务器后，服务器会更新该session中的token，当重复提交是，请求带的还是更新前的token，验证就会失败

anti csrf攻击：

客户端发送请求给服务器后，服务器会验证请求中的token和session中存储的token是否匹配

 

session：

session

原理就是，服务器收到客户端发送到的请求后，在返回请求时，会带一个set-cookies给客户端，set-cookie中带的就是sessionid，主要用于标识身份。

cookie被禁止时的通用做法：

一是将sessionid直接变成参数返回，另外一种是使用hidden表单

 

cookie：

cookie分为两种，一种存在内存中，一种存在硬盘上，比如记住我等等操作，存在内存中的如果关闭浏览器，则cookie就会失效，比如sessionid

 

---恢复内容结束---