ps制作网站导航图片,深圳网站建设优化,专业的天津网站建设,淘宝店铺网站策划今天就来说说session、cookie、token这三者之间的关系#xff01;最近这仨玩意搞得头有点大#x1f923;
01 为什么会有它们三个
我们都知道 HTTP 协议是无状态的#xff0c;所谓的无状态就是客户端每次想要与服务端通信#xff0c;都必须重新与服务端链接#xff0c;意…
今天就来说说session、cookie、token这三者之间的关系最近这仨玩意搞得头有点大
01 为什么会有它们三个
我们都知道 HTTP 协议是无状态的所谓的无状态就是客户端每次想要与服务端通信都必须重新与服务端链接意味着请求一次客户端和服务端就连接一次下一次请求与上一次请求是没有关系的。
这种无状态的方式就会存在一个问题如何判断两次请求的是同一个人就好比用户在页面 A 发起请求获取个人信息然后在另一个页面同样发起请求获取个人信息我们如何确定这俩个请求是同一个人发的呢
为了解决这种问题我们就迫切需要一种方式知道发起请求的客户端是谁此时cookie、token、session 就出现了它们就可以解决客户端标识的问题在扩大一点就是解决权限问题。
它们就好比让每个客户端或者说登录用户有了自己的身份证我们可以通过这个身份证确定发请求的是谁从而知道用户登录的信息
02 什么是 cookie
cookie 是保存在客户端或者说浏览器中的一小块数据大小限制大致在 4KB 左右在以前很多开发人员通常用 cookie 来存储各种数据后来随着更多浏览器存储方案的出现cookie 存储数据这种方式逐渐被取代
主要原因有如下 cookie 有存储大小限制4KB 左右 浏览器每次请求会携带 cookie 在请求头中 字符编码为 Unicode不支持直接存储中文 数据可以被轻易查看
cookie 主要有以下属性 那么我们是如何通过 cookie 来实现用户确定或者权限的确定呢
我们就以一个普通网站的用户登录操作以及后续操作为例主要过程可以简单用下图表示 从上图中可以看到使用 cookie 进行用户确认流程是比较简单的大致分为以下几步
1.客户端发送请求到服务端比如登录请求。
2.服务端收到请求后生成一个 session 会话。
3.服务端响应客户端并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId它的格式如下
Set-Cookie: value[; expiresdate][; domaindomain][; pathpath][; secure]
其中 sessionId 就是用来标识客户端的类似于去饭店里面服务员给你一个号牌后续上菜通过这个号牌来判断上菜到哪里。
4.客户端收到该请求后如果服务器给了 Set-Cookie那么下次浏览器就会在请求头中自动携带 cookie。
5.客户端发送其它请求自动携带了 cookiecookie 中携带有用户信息等。
6.服务端接收到请求验证 cookie 信息比如通过 sessionId 来判断是否存在会话存在则正常响应。
cookie 主要有以下特点 cookie 存储在客户端 cookie 不可跨域但是在如果设置了 domain那么它们是可以在一级域名和二级域名之间共享的
03 什么是session
在上一节中我们通过 Cookie 来实现了用户权限的确认在其中我们提到了一个词session。顾名思义它就是会话的意思session 主要由服务端创建主要作用就是保存 sessionId用户与服务端之间的权限确认主要就是通过这个 sessionId。
简单描述下 session
session 由服务端创建当一个请求发送到服务端时服务器会检索该请求里面有没有包含 sessionId 标识如果包含了sessionId则代表服务端已经和客户端创建过 session然后就通过这个sessionId 去查找真正的session如果没找到则为客户端创建一个新的 session并生成一个新的 sessionId 与 session对应然后在响应的时候将 sessionId 给客户端通常是存储在cookie 中。如果在请求中找到了真正的session验证通过正常处理该请求
总之每一个客户端与服务端连接服务端都会为该客户端创建一个 session并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端客户端将 sessionId 存到 cookie 中
通常情况下我们 cookie 和 session 都是结合着来用我们可以在修改一下整个请求过程图如下所示 04 cookie和session区别
前面两节我们介绍了 cookie 和 session它们两者之间主要是通过 sessionId 关联起来的所以我们总结出sessionId 是 cookie 和 session 之间的桥梁。我们日常的系统中如果在鉴权方面如果使用的是 cookie 方式那么大部分的原理就和我们前面说的一样。
或者我们可以换个说法session 是基于 cookie 实现的它们两个主要有以下特点
session 比 cookie 更加安全因为它是存在服务端的cookie 是存在客户端的
cookie 只支持存储字符串数据session 可以存储任意数据
cookie 的有效期可以设置较长时间session 有效期都比较短
session 存储空间很大cookie 有限制
系统想要实现鉴权可以单独使用 cookie也可以单独使用 session但是建议结合两者使用
05 token 是什么
前面我们说的 sessionId 可以叫做令牌令牌顾名思义就是确认身份的意思服务端可以通过令牌来确认身份。cookiesession 是实现认证的一种非常好的方式但是凡事都有两面性
它们实现的认证主要有以下缺点 增加请求体积浪费性能因为每次请求都会携带 cookie。 增加服务端资源消耗因为每个客户端连接进来都需要生成 session* * 会占用服务端资源的。 容易遭受 CSRF 攻击即跨站域请求伪造。
那么为了避免这些缺点token 方式的鉴权出现了它可以说是一个民间的认证方式但是不得不说它带来了非常多的好处。
1、token 的组成
token 其实就是一串字符串而已只不过它是被加密后的字符串它通常使用uid(用户唯一标识)、时间戳、签名以及一些其它参数加密而成。我们将 token 进行解密就可以拿到诸如 uid 这类的信息然后通过uid 来进行接下来的鉴权操作。
2、token 是如何生成的
前面我们说 cookie 是服务端设置了 set-cookie 响应头之后浏览器会自动保存 cookie然后下一次发送请求的时候会自动把cookie 携带上。但是我们说 cookie 算是一种民间的实现方式所以说
浏览器自然不会对它进行什么处理。token主要是由服务器生成然后返回给客户端客户端手动把 token 存下来比如利用localstorage 或者直接存到 cookie当中也行。
3、token 认证流程
客户端发起登录请求比如用户输入用户名和密码后登录
服务端校验用户名和密码后将用户 id 和一些其它信息进行加密生成 token
服务端将 token 响应给客户端
客户端收到响应后将 token 存储下来
下一次发送请求后需要将 token 携带上比如放在请求头中或者其它地方。
服务端 token 后校验校验通过则正常返回数据
用图表示大致如下 06 总结
虽然前面解释 cookie、session、token 用了不少口舌但是归根结底啊它们的目的都是一样的鉴权和认证 总结下来就是session 是空间换时间token 是时间换空间。
最后感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走 这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你
