cookies,session,token
http请求是客户端向服务器发送请求,服务器做出响应,但是有的时候服务器并不知道发出请求的客户端是谁,如何理解这句话呢
如果客户端A通过代理B连接到服务器,这时候A的IP是B分配的,如果这时候连接断了,当客户端再次链接到服务器的时候,IP又变了,这时候服务器以及是不同的客户端,实际上还是同一个客户端
如果多个客户端在同一个局域网通过路由向服务器发送请求,请求的IP均是同一个,这时候服务器以为是同一个的客户端实际上是不同的客户端
因此如何对客户端进行唯一的标识,是需要解决的问题
解决方法:
cookie:
cookie是保存在本地终端的数据,cookie是由服务器生成,发送给浏览器,浏览器以kv的形式进行保存,下一次请求同一个网站的时候会把cookie信息发送给服务器。
cookie的组成有:名称,值,有效域、路径、失效时间、安全标志
通过在http请求中携带的信息进行标识,cookie就是用来解决这个问题的。
服务器端返回给客户端一个请求响应的时候,会包含set-cookies,意思是指示客户端建立cookie,并且在后续的http请求中发送这个cookie直到这个cookie过期。
一个cookie的设置以及发送过程分为以下四步:
客户端发送一个http请求到服务器端
服务器端发送一个http响应到客户端,其中包含Set-Cookie头部
客户端发送一个http请求到服务器端,其中包含Cookie头部
服务器端发送一个http响应到客户端
session:
session的意思是“会话”,客户端与服务器的一次请求就产生一个session,服务器使用session将用户的信息临时保存在服务器上,用户离开网站session就会销毁。这种方式相对于cookie而言比较安全,但是也会存在问题,如果服务器做了负载均衡的话,那么下一次操作到别的服务器,session就会丢失。
token:
token是“令牌”是用户身份的验证方式,包含:uid,time,sign
cookie 和session的区别
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、所以个人建议:
将登陆信息等重要信息存放为SESSION
其他信息如果需要保留,可以放在COOKIE中
token 和session 的区别
Session 是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓Session 认证只是简单的把User 信息存储到Session 里,因为SID 的不可预测性,暂且认为是安全的。这是一种认证手段。 而Token ,提供的是 认证 和 授权 ,认证是针对用户,授权是针对App 。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是唯一的。不可以转移到其它 App上,也不可以转到其它 用户 上。 转过来说Session 。Session只提供一种简单的认证,即有此 SID,即认为有此 User的全部权利。是需要严格保密的,这个数据应该只保存在站方,不应该共享给其它网站或者第三方App。 所以简单来说,如果你的用户数据可能需要和第三方共享,或者允许第三方调用 API 接口,用 Token 。如果永远只是自己的网站,自己的 App,用什么就无所谓了。
token就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,就会自动调用cookie自动登录用户名;session和cookie差不多,只是session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号.Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端。