快速理解Token,Cookie,Session

2022-11-24 22:16:16 字數 2448 閱讀 6105

在web應用中,http請求是無狀態的。即:使用者第一次發起請求,與伺服器建立連線並登入成功後,為了避免每次開啟一個頁面都需要登入一下,就出現了cookie,session。

cookie

cookie是客戶端儲存使用者資訊的一種機制,用來記錄使用者的一些資訊,也是實現session的一種方式。cookie儲存的資料量有限,且都是儲存在客戶端瀏覽器中。不同的瀏覽器有不同的儲存大小,但一般不超過4kb。因此使用cookie實際上只能儲存一小段的文字資訊。

session

session是另一種記錄客戶狀態的機制,它是在服務端儲存的一個資料結構(主要儲存的的sessionid和session內容,同時也包含了很多自定義的內容如:使用者基礎資訊、許可權資訊、使用者機構資訊、固定變數等),這個資料可以儲存在叢集、資料庫、檔案中,用於跟蹤使用者的狀態。客戶端瀏覽器訪問伺服器的時候,伺服器把客戶端資訊以某種形式記錄在伺服器上。這就是session。客戶端瀏覽器再次訪問時只需要從該session中查詢該客戶的狀態就可以了。

使用者第一次登入後,瀏覽器會將使用者資訊傳送給伺服器,伺服器會為該使用者建立一個sessionid,並在響應內容(cookie)中將該sessionid一併返回給瀏覽器,瀏覽器將這些資料儲存在本地. 當使用者再次傳送請求時,瀏覽器會自動的把上次請求儲存的cookie資料自動的攜帶給伺服器。伺服器接收到請求資訊後,會通過瀏覽器請求的資料中的sessionid判斷當前是哪個使用者,然後根據sessionid在session庫中獲取使用者的session資料返回給瀏覽器。

例如:購物車,新增了商品之後客戶端處可以知道新增了哪些商品,而伺服器端如何判別呢,所以也需要儲存一些資訊就用到了session。

如果說cookie機制是通過檢查客戶身上的“通行證”來確定客戶身份的話,那麼session機制就是通過檢查伺服器上的“客戶明細表”來確認客戶身份。session相當於程式在伺服器上建立的一份客戶檔案,客戶來訪的時候只需要查詢客戶檔案表就可以了。session生成後,只要使用者繼續訪問,伺服器就會更新session的最後訪問時間,並維護該session。為防止記憶體溢位,伺服器會把長時間內沒有活躍的session從記憶體刪除。這個時間就是session的超時時間。如果超過了超時時間沒訪問過伺服器,session就自動失效了。

token

http請求都是以無狀態的形式對接。即http伺服器不知道本次請求和上一次請求是否有關聯。所以就有了session的引入,即服務端和客戶端都儲存一段文字,客戶端每次發起請求都帶著,這樣伺服器就知道客戶端是否發起過請求。

這樣,就導致客戶端頻繁向服務端發出請求資料,服務端頻繁的去資料庫查詢使用者名稱和密碼並進行對比,判斷使用者名稱和密碼正確與否。而session的儲存是需要空間的,頻繁的查詢資料庫給伺服器造成很大的壓力。

在這種情況下,token應用而生。

token是服務端生成的一串字串,以作客戶端進行請求的一個令牌。當客戶端第一次訪問服務端,服務端會根據傳過來的唯一標識userid,運用一些演算法,並加上金鑰,生成一個token,然後通過base64編碼一下之後將這個token返回給客戶端,客戶端將token儲存起來(可以通過資料庫或檔案形式儲存本地)。下次請求時,客戶端只需要帶上token,伺服器收到請求後,會用相同的演算法和金鑰去驗證token。

最簡單的token組成:uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,由token的前幾位+鹽以雜湊演算法壓縮成一定長的十六進位制字串,可以防止惡意第三方拼接token請求伺服器)。

使用基於 token 的身份驗證方法,在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的:

客戶端使用使用者名稱跟密碼請求登入

服務端收到請求,去驗證使用者名稱與密碼

驗證成功後,服務端會簽發一個 token,再把這個 token 傳送給客戶端

客戶端收到 token 以後可以把它儲存起來,比如放在 cookie 裡或者資料庫裡

客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 token

服務端收到請求,然後去驗證客戶端請求裡面帶著的 token,如果驗證成功,就向客戶端返回請求的資料

下面這個例子,可以很好的理解:

『給我來份煎餅(token我是你對面攤賣烤冷麵的,scope賒賬)』『好』

『雞蛋(token我是你對面攤賣烤冷麵的,scope賒賬)』『好』

『再加個雞蛋(token我是你對面攤賣烤冷麵的,scope賒賬)』『好』

最終得到一份普通煎餅,外加兩個雞蛋……

如果伺服器重啟或者因為其他理由,伺服器端已儲存token丟失。那麼使用者需 要重新登入和認證。

『給我來份煎餅(token我是你對面攤賣烤冷麵的)』『那個……我沒見過你』

session cookie token

各自應用場景 考慮session token cookie是不是有各自的應用場景,比如 傳統專案適合用session和cookie 單頁應用適合用token 分散式適合用token 等等cookie 這樣會導致url很長,一點也不美觀,如果非特殊情況,建議將token放入cookie中,這樣,無論是...

cookie,session,token

發展史 1 很久很久以前,web 基本上就是文件的瀏覽而已,既然是瀏覽,作為伺服器,不需要記錄誰在某一段時間裡都瀏覽了什麼文件,每次請求都是一個新的http協議,就是請求加響應,尤其是我不用記住是誰剛剛發了http請求,每個請求對我來說都是全新的。這段時間很嗨皮 3 這樣大家很嗨皮了,可是伺服器就不...

Cookie,Session, Token區別

由伺服器生成傳送給瀏覽器 下一次請求同一 時會把該cookie傳送給伺服器 以鍵值對形式儲存 cookie儲存在本地,可被偽造,不安全 cookie可儲存的資料有限,瀏覽器中同一個站點可儲存的cookie數量也有限 存在a站點的cookie不能在b站點使用 存在a站點的cookie可在a站點的所有域...