【web基础】Cookie Session Token 区别与联系

前言

最近写的项目是和用户权限与认证有关,所以学习了很多有关 Cookie、Session 以及 Token 的相关知识,在这里做一个梳理。本文包括基础概念、区别与联系。对于实际如何在项目中进行实现,虽然在我之前的博客中有所体现,但之后我也会将其中实现功能的代码与流程整理出来,写一个专门的文章。

Session

  • 基础概念
    “会话控制”。Session 对象存储特定用户会话所需的属性及配置信息于服务器中。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失。

  • 抽象理解
    可以抽象理解为,session就是在服务器的内存中放了一个盒子,可以在这个盒子中存放浏览器需要在页面跳转中持续保存的信息。

  • 问题
    服务器是如何辨析不同请求属于哪些的session呢?
    在服务器中,不同的 session 具有不同的 sessionid。在服务器发送响应报文的同时,将浏览器请求的 sessionid 放在 cookie 或 url 中进行回传。之后,浏览器每次请求时都要带着 sessionid,服务器通过 sessionid 来进行请求和 session 的配对。 所以说,说浏览器或主机拥有自己的 session,这个说法是不准确的,因为只要拿到了 sessionid,就可以在服务器访问相应的 session。

Cookie

  • 基础概念
    Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

  • 抽象理解
    和 session 差不多,可以抽象理解为,cookie就是在客户端本地外存放了一个小盒子,来存放服务器相应的信息。

  • 问题
    cookie 一般都存放什么信息?
    因为 cookie 是存放在本地的小型文本文件,非常容易被篡改。所以一般放在 cookie 中的信息都是被加密过的 “id” 型信息,或者非敏感型的信息。

Token

  • 基础概念
    token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。
  • 抽象理解
    与前两者不同,token 可以理解为放在盒子里的信息。就像是现在如果我们要进入一栋大楼,根据身份的不同,访客所能访问的楼层也就不同。所以在进入大楼前,每一个访客都需要办理身份认证,这个身份认证就可以理解为 token。
  • 问题
    我们什么时候会需要 token ?
    一般在做后台管理系统时候,token 的运用比较多。因为后台管理系统涉及到很多角色的划分,不同的角色所能访问资源的范围也不同。因此客户端每次访问服务器时,服务器都会验证 token 的有效性,以此来检验用户的登陆状态。

区别与联系

Cookie 与 Session

它们的区别其实很明显,cookie是存放在客户端本地的 “盒子”,session是存放在服务器的 “盒子”,本质都是用来记录用户的相关信息,来保证会话的一个连续性。在上面的叙述中也不难看到,cookie 与 session 是可以一起使用的,在客户端用 cookie 来记录 sessionid(如果浏览器支持的话),在服务器端用 session 来存储用户的信息或登陆状态。

Session 与 Token

相较于 Cookie 与 Session,Session 与 Token 的联系好像非常的奇特。我们可以发现,Session 和 Token 都可以实现用户认证这一块内容,区别是:

Session 是以空间换时间,Token 是以时间换空间。

使用 Token 进行用户认证时,服务器是不需要在内存中保存任何与用户相关的信息的,因为每一次用户信息都会从磁盘中进行读取。这个流程是怎样的,感兴趣的同学可以翻一下我之前的文章,或者关注我接下来整理出的实现代码。
使用 Session 时,显而易见速度是块于 token 的,但也可能会因为保持的客户端会话过多而导致内存不足。
所以,Session 是以空间换时间,Token 是以时间换空间。



参考文章

https://blog.csdn.net/qq_1290259791/article/details/81193914

你可能感兴趣的:(Web2,things,Session,Cookie,Token)