详解Cookie、Session与Token

 

目录

Cookie

什么是Cookie?

Cookie工作流程

Cookie的常见属性

有效期max-age(expires)

域名domain

路径path

应用

Session

Cookie和Session的区别

Token

什么是Token?

Token的工作流程

Token的组成

JWT组成

Token的特点


Cookie

什么是Cookie?

        由于服务器根据网络连接无法识别用户。那么就需要为用户分发一个通行证类似的东西,访问时用户需携带自己通行证,这样就可以识别用户的身份了。Cookie的工作原理也是如此。

        Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,是客户端用保存用户信息的一种机制,也是实现Session的一种方式。

Cookie 存储在客户端,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

Cookie工作流程

当用户第一次访问并登录一个网站的时候,Cookie的设置以及发送会经历以下4个步骤:

  1. 客户端发送一个请求到服务器;
  2. 服务器发送一个HttpResponse响应到客户端,其中包含Set-Cookie的头部;
  3. 客户端保存cookie,之后向服务器发送请求时,HttpRequest请求中会包含一个Cookie的头部;
  4. 服务器返回响应数据。

PS:Request Headers中Cookie值中的name和value是基于Response Headers中包含Set-Cookie头部设置的。

Cookie的常见属性

有效期max-age(expires)

PS:HTTP 1.1中定义了max-age表示cookie有效期,优先级高于expires字段。

Cookie中的max-age用来表示该属性,单位为秒。

  • max-age为正数,Cookie 在 max-age 秒后失效。浏览器会将maxAge为正数的Cookie写到对应的Cookie存储文件中(存储的位置看浏览器怎么设置)。
  • max-age为负数,则表示该Cookie为临时Cookie,不会被持久化,仅在本浏览器窗口或者本窗口打开的子窗口中有效,关闭浏览器后该Cookie立即失效。
  • max-age为0,表示删除该Cookie。
  • 默认为-1。

域名domain

        用于指定 cookie 所属域名,默认是当前域名。

        Cookie是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的Cookie。

路径path

        path属性决定允许访问Cookie的路径。默认是 '/'(表示允许所有路径都可以使用Cookie)。

应用

  • 判定注册用户是否已经登录网站,以及保留用户信息。
  • “购物车”(加购的商品的信息存储在Cookies用于最终结算)。

Session

        Session是记录服务器和客户端会话状态的机制。

        服务器会为每个用户的浏览器创建一个用户独享的Session(会话)对象。Session对象用于保存一些用户信息。然后将Dession的ID以Cookie的形式返回给客户端(也可以用其它方式实现,比如放url里,Cookie更为合适、方便)。

        当用户访问服务器中的Web资源时,服务端会根据Cookie里存储的Session的ID,从内存中找到与之对应的Session。根据Session为用户服务。

PS:默认情况下一个浏览器独享一个Session对象。

Cookie和Session的区别

  • 存储方式:Cookie 数据存放在客户端浏览器上;Session 数据存放在服务器上(只返回Session的ID值给客户端)。
  • 安全性:Cookie本地存储,可以根据存放在本地的Cookie进行欺骗,不安全。
  • 存储大小:很多浏览器会限制单个cookie的大小,一般不能超过4K,一个站点最多保存20个cookie;Session没有类似的限制。
  • 生存周期: Cookie 可设置为长时间保持;Session失效时间较短,一般客户端关闭Session就会失效。

Token

什么是Token?

        token也是验证用户身份的凭证。是“令牌”的意思。其本质就是服务端生成的一串字符串。

        在用户第一次登录时,服务器根据业务鉴权成功后生成一串字符串,并返回给客户端,这个字符串即为token。之后客户端每次请求时只需带上这个token即可让服务端辨别用户身份。

Token的工作流程

  1. 用户通过用户名和密码发送登录请求
  2. 服务端鉴权
  3. 返回一个token给客户端
  4. 客户端存储token,并且在每次发送请求时携带token
  5. 服务端验证token,并返回数据

Token的组成

        最简单的token组成: 用户唯一的身份标识、当前时间的时间戳、签名(以哈希算法压缩成一定长的十六进制字符串)。

        JWT(Json web token)是标准化的token,即一种token组成规范。

JWT组成

JWT分为三部分:

  • header:jwt的头部,包含两部分信息:
    • 声明类型("typ":"JWT",表示这是jwt)
    • 声明加密的算法("alg":"HS",通常直接使用 HMAC SHA256)
  • playload:jwt的载荷,存放有效信息。主要包含三个部分:(不放敏感信息)
    • 标准中注册的声明
    • 公共的声明
    • 私有的声明
  • signature:签名信息。

Token的特点

  1. 支持跨域访问。
  2. 无状态(Token是无状态,session有状态)。
  3. 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可。
  4. 更适用于移动应用。
  5. 正常情况下token要比 session_id 更长,需要消耗更多流量,挤占更多带宽。此外,由于Cookie大小有限制,如果token比较大则需要存储在LocalStorage、SessionStorage中。
  6. 无法在服务端注销,那么久很难解决劫持问题。

你可能感兴趣的:(java,后端,前端,网络)