当前位置：首页 > news >正文

为什么使用 Token 而不是 Cookie 来管理用户认证和会话

news 来源：原创 2025/7/17 15:40:22

使用 Token 而不是 Cookie 来管理用户认证和会话的原因主要有以下几点：

跨域问题 (Cross-Domain)
Token：通常是存储在客户端的 localStorage 或 sessionStorage 中，不会自动随请求发送到服务器，这使得它在处理跨域请求时更加灵活。比如，你可以在不同的子域或不同的服务之间共享 Token，而不受限于浏览器的同源策略。
Cookie：通常与特定的域名绑定，并且会自动随每个请求发送到服务器。这在跨域时可能会遇到限制或需要额外的配置（例如，设置 Access-Control-Allow-Credentials 等）。
安全性问题 (Security)
Token：如果 Token 存储在 localStorage 或 sessionStorage 中，它不容易受到 CSRF（跨站请求伪造）攻击的影响。因为 Token 并不会随着每个 HTTP 请求自动发送，攻击者无法通过伪造请求发送 Token。

Cookie：Cookie 是会自动随请求发送的，因此容易受到 CSRF 攻击。攻击者可以伪造请求，并利用用户的浏览器自动发送包含认证 Cookie 的请求，绕过身份验证。
当然，使用 Cookie 可以通过设置 SameSite 属性来防止 CSRF 攻击。但这仍然依赖于浏览器的支持和配置，且在某些情况下需要额外的设置（如 Secure、HttpOnly 等）。

控制粒度
Token：你可以完全控制 Token 的生命周期、存储和使用。比如，Token 的过期时间（JWT Token）可以在服务器端设定，也可以在客户端决定 Token 是否需要刷新。
Cookie：Cookie 通常由服务器设置，并且它的生命周期和存储机制受到浏览器的控制。如果浏览器禁用 Cookie，或者用户手动删除 Cookie，认证信息就会丢失。
便于移动端应用和单页应用 (SPA)
Token：在移动应用或单页应用（SPA）中，Token 是一种更为灵活的认证方式。Token（如 JWT）可以作为 Authorization header 在每次 API 请求时附加，而不需要与页面的状态或刷新相关联。比如，Token 可以作为 HTTP 请求头的一部分发送，不依赖于浏览器的 Cookie 存储。
Cookie：Cookie 依赖于浏览器的管理，并且每个请求会自动携带 Cookie，这对于 API 请求（尤其是跨域请求）可能会带来不必要的麻烦。对于 SPA，Cookie 还会影响页面刷新和缓存管理。
跨平台兼容性
Token：因为 Token 存储在客户端的 localStorage 或 sessionStorage 中，且它与特定的浏览器无关，Token 可以在各种平台之间共享，例如浏览器、移动设备、桌面客户端等。
Cookie：Cookie 主要由浏览器管理，因此在不同平台上（尤其是移动端应用或桌面应用）可能需要额外的处理来传递 Cookie。
性能问题
Token：因为 Token 不会像 Cookie 一样每次请求都会自动发送，所以它能够减轻服务器的负担，尤其是对于 API 接口。如果 Token 存储在 localStorage 或 sessionStorage 中，开发者可以通过手动设置请求头将 Token 附加到需要认证的 API 请求中。
Cookie：Cookie 会随着每个 HTTP 请求自动发送，特别是当请求发送给多个 API 或子域时，会增加网络流量，甚至影响性能。
更灵活的身份验证方式
Token：特别是 JWT（JSON Web Token），是一种非常流行的身份验证方式。它通常包含用户信息、过期时间等，可以在客户端进行验证，减轻服务器压力。同时，JWT 支持签名和加密，确保数据的完整性和安全性。
Cookie：Cookie 本身只是一个简单的键值对存储，没有内建的加密和签名机制。虽然可以通过 HTTPS 进行加密和保护，但 Cookie 本身并不具备像 JWT 那样的灵活性和扩展性。
登出和Token失效机制
Token：Token 本身一般不会存储在服务器端，登出时可以简单地删除客户端的 Token，或者令 Token 失效（例如通过设置较短的过期时间）。如果是 JWT，通常使用刷新机制来延长用户会话。
Cookie：Cookie 可能需要手动删除或清除，同时需要处理 Cookie 的失效机制。登出操作有时也依赖于服务器清除 Cookie 数据，这会导致一些额外的复杂性。

总结
Token 适用于跨域、跨平台、移动端和 SPA 环境，具有更高的安全性、更灵活的管理机制，并且能够避免许多 Cookie 带来的问题（例如 CSRF）。
Cookie 适合传统的服务器端渲染（SSR）应用，尤其是在需要依赖浏览器进行身份认证管理时，且通过设置 SameSite 和 Secure 属性可以增强安全性。
在现代 Web 应用开发中，Token（尤其是 JWT）成为了更常见的身份验证方式，而 Cookie 主要用于传统的浏览器存储和会话管理。

为什么使用 Token 而不是 Cookie 来管理用户认证和会话

使用 Token 而不是 Cookie 来管理用户认证和会话的原因主要有以下几点： 跨域问题 (Cross-Domain) Token：通常是存储在客户端的 localStorage 或 sessionStorage 中，不会自动随请求发送到服务器，这使得它在处理跨域请求时更加灵活…...

编程日记 2025/7/17 15:40:22

WIDER FACE数据集转YOLO格式

1. 引出问题本人最近在做毕设相关内容，第一阶段目标是通过目标检测来统计课堂人数，因此需要对人脸和人头进行目标检测。模型方面没什么好说的无脑用YOLO，数据集方面，人脸部分找到了来自港中文的WIDER FACE数据集。但是解压后发现…...

编程日记 2025/7/13 20:20:23

机器学习概述详解

文章目录机器学习概述详解一、引言二、机器学习基础1、机器学习定义及应用场景2、监督学习与无监督学习三、机器学习开发流程四、使用示例1、LeNet网络结构代码示例2、AlexNet网络结构代码示例五、总结机器学习概述详解一、引言机器学习作为人工智能的一个重要分支&…...

编程日记 2025/7/16 22:39:33

VTK编程指南＜三＞：基于VTK入门程序解析来理解VTK基础知识

1、VTK入门程序下面是一个完整的Vtk入门程序，我们基于这个程序来对VTK的基本知识进行一个初步了解。 #include <iostream>#include <vtkAutoInit.h> VTK_MODULE_INIT(vtkRenderingOpenGL2);// VTK was built with vtkRenderingOpenGL2 VTK_MODULE_INI…...

编程日记 2025/7/12 20:56:42

【UE5 C++课程系列笔记】07——使用定时器实现倒计时效果

使用定时器实现如下倒计时效果效果步骤 1. 新建一个Actor类，这里命名为“CountDownTimerActor” 2. 在头文件中先定义倒计时时间和更新剩余时间的函数方法前向声明一个文本渲染组件 3. 在源文件中引入文本渲染组件创建文本渲染组件并进行一些设置实现Update…...

编程日记 2025/7/6 9:34:43

基于DDPM的PyTorch简单实现

基于DDPM的PyTorch简单实现文章目录基于DDPM的PyTorch简单实现摘要Abstract一、DDPM实现1. 获取数据集2. DDPM类3. 训练算法4. 去噪神经网络5. 实验结果与采样总结摘要本周的学习与实践围绕扩散模型（Diffusion Model）的基础理论和实现展开&#xf…...

编程日记 2025/7/14 13:18:23

php laravel 学习管理系统(LMS)

Lernen LMS（学习管理系统）是一个综合性的在线教育平台，旨在为学生和导师提供灵活、高效、便捷的学习体验。该系统不仅帮助学生找到最适合自己的导师，还通过一系列强大的功能，提升了课程安排、学习管理和师生互动的效率…...

编程日记 2025/7/13 20:45:24

【JAVA】Java高级：数据库监控与调优：SQL调优与执行计划的分析

作为Java开发工程师，理解SQL调优和执行计划的分析是至关重要的。这不仅可以帮助我们提高数据库查询的效率，还能减少系统资源的消耗，提升整体应用的性能。 1. SQL调优的重要性随着数据量的增加和用户请求的增多，数据库的性能问题…...

编程日记 2025/7/16 17:12:05

centos9升级OpenSSH

需求 Centos9系统升级OpenSSH和OpenSSL OpenSSH升级为openssh-9.8p1 OpenSSL默认为OpenSSL-3.2.2（根据需求进行升级） 将源码包编译为rpm包查看OpenSSH和OpenSSL版本 ssh -V下载源码包并上传到服务器 openssh最新版本下载地址 wget https://cdn.openb…...

编程日记 2025/7/16 23:05:22

jeccg-boot修改密码

最近在使用jeccg-boot框架，遇到一个需要批量修改用户密码的问题由于框架使用的是加密盐算法生成的密码 ，无法直接通过数据库修改密码例如将password字段和salt值复制过去，密码是不对的查看代码发现通过user.getUsername(), user.getPasswo…...

编程日记 2025/7/16 23:59:56

linux 生成 nginx 的https ssl 证书详解

证书生成 1. 生成证书会提示输入密码，输入两次相同密码即可。 openssl genrsa -des3 -out server.key 20482. 去除密码校验如果想去除此输密码的步骤，可以执行如下命令，根据使用需求选择。 openssl rsa -in server.key -out server.ke…...

编程日记 2025/7/15 9:39:25

详细介绍vue的递归组件（重要）

递归组件在 Vue 中是一个非常强大的概念，尤其在渲染层级结构（如树形结构、嵌套列表、评论系统等）时，能够极大地简化代码。什么是递归组件？ 递归组件就是一个组件在其模板中引用自身。这种做法通常用于渲染树形结构或…...

编程日记 2025/7/6 18:45:05

gitlab配置调试minio

官方文档 rails console 调试查看配置Settings.uploads.object_store加载minio clientrequire fog/awsfog_connection Fog::Storage.new(provider: AWS,aws_access_key_id: 你的MINIO_ACCESS_KEY,aws_secret_access_key: 你的MINIO_SECRET_KEY,region: <S3 region>,e…...

编程日记 2025/7/16 6:22:42

Docker(Nginx) 部署 uniapp

目录一、准备工作 1.Docker安装nginx 2.安装HBuild X工具二、HBuild X打包项目 1.在HBuild X导入项目 2.配置manifest.json 3.打包 （1）点击发行 （2）填写信息，点击发行三、nginx部署uniapp 1.生成文件上传…...

编程日记 2025/7/13 5:32:42

Camp4-L2：LMDeploy 量化部署进阶实践

书生浦语大模型实战营第四期：LMDeploy 量化部署进阶实践教程链接：https://github.com/InternLM/Tutorial/tree/camp4/docs/L2/LMDeploy视频链接：https://www.bilibili.com/video/BV18aUHY3EEG/?vd_sourceb96c7e6e6d1a48e73edafa36a36f1697…...

编程日记 2025/7/12 15:25:21

第二十四周学习周报

目录摘要Abstract1. 文献阅读1.1 RNN1.2 Deep Recurrent Neural Networks1.3 实验1.4 讨论 2. AI虚拟主播生成总结摘要本周的主要任务是阅读了一篇关于循环神经网络的论文，该论文旨在探索将RNN扩展到深度RNN的不同方法。论文通过对RNN结构的理解和分析&#xff…...

编程日记 2025/7/15 1:24:26

深入解析 Android PMS —— APK 安装与解析全流程

文章目录前言1. PMS 的初始化1.1 SystemServer 启动 PMS1.2 PMS 的入口方法 main1.3 PMS 构造函数1.4 扫描 APK 文件1.5 权限初始化1.6 提供对外服务 2. APK 安装机制2.1. 安装请求的触发2.2 APK 文件解析与验证2.3 签名校验2.4 权限管理2.4.1 权限声明2.4.2 权限校验与分配 2…...

编程日记 2025/7/16 16:26:55

RL仿真库pybullet

1. 介绍 PyBullet是一个基于Bullet Physics引擎的物理仿真Python接口，主要用于机器人仿真模拟。 1.1 主要特点提供大量预设的机器人模型，例如URDF(统一机器人描述格式)、SDF、MJCF 格式。适用于训练和评估强化学习算法，提供了大量的强化学…...

编程日记 2025/7/13 5:03:48

Vue3组件通信（父传子，子传父，跨组件通信）

本文主要是讲述Vue3在setup语法糖下的组件间通信 Vue组件通信是指在Vue.js中，不同组件之间进行信息交流和共享数据的过程。在前端开发中，组件通信是非常重要的一部分，因为在一个复杂的应用中，不同的组件通常需要相互协作&#xff…...

编程日记 2025/7/15 22:46:26

从失败中学习：如何将错误转化为学习机会

失败是人生的一部分，无论是在个人生活还是职业生涯中，我们都难免会遇到挫折和错误。然而，失败并不意味着终结，而是一个潜在的学习机会。通过正确的态度和方法，我们可以从失败中汲取经验，转化为成长的动力。…...

编程日记 2025/7/14 13:41:49

[0629].第29节：配置中心业务规则与动态刷新

我的后端学习大纲 SpringCloud学习大纲 1、编码实现3377服务： 1.1.建module: 1.2.改pom: 1.3.写YML： 1.Nacos同Consul一样，在项目初始化时，要保证先从配置中心进行配置拉取，拉取配置之后，才能保证项目的正…...

编程日记 2025/7/16 1:29:31

JUC并发编程

进程：系统中正在运行的一个应用程序，程序一旦运行就是进程，是资源分配的最小单元。线程：系统分配处理器时间资源的基本单元，进程之内独立执行的一个单元执行流，是程序执行的最小单位。 Lock 需要手动上…...

编程日记 2025/7/14 8:34:32

贪心算法解题方法介绍+实操案例——会场安排与月饼售卖问题解析

从贪心算法到实操案例——会场安排与月饼售卖问题解析前言贪心算法是一种通过选择局部最优解来尝试构建全局最优解的算法。它简单高效，适用于许多优化问题。本文将详细介绍贪心算法的一般解题步骤，并通过两个实例——月饼售卖问题和会场安排问题——…...

编程日记 2025/7/17 15:34:15

ASP.NET Core API 前后端分离跨域

环境准备数据库： sqlserver 2022 后端： vs2022 ASP.NET Core API .net 8 前端： Hbuilderx bootstrap 5.3.0 jquery v3.7.1 bootstrap-table 1.23.5 完整项目代码下载地址功能实现单张表的增删改查创建数据库和表 create data…...

编程日记 2025/7/11 23:30:32

用Python绘制医学热图

在医学研究和临床实践中，数据的可视化是不可或缺的一部分。通过直观的数据展示，医学专业人员可以更好地理解各种疾病的治愈率、治疗效果以及医院之间的差异。今天，我们将介绍一种强大的数据可视化工具——热图（Heatmap&#xff09…...

编程日记 2025/7/14 1:31:49

使用 Spring Boot 和 GraalVM 的原生镜像

🧑 博主简介：CSDN博客专家，历代文学网（PC端可以访问：历代文学，移动端可微信小程序搜索“历代文学”）总架构师，15年工作经验，精通Java编程，高并发设计&#xf…...

编程日记 2025/7/13 19:02:27

Flutter解压文件并解析数据

Flutter解压文件并解析数据前言在 Flutter 开发中，我们经常需要处理文件的读取和解压。这在处理应用数据更新、安装包、存档文件等场景中尤为常见。本文将介绍如何在Flutter中使用archive插件来解压文件并解析数据。准备在开始之前，我们需要…...

编程日记 2025/7/13 11:04:04

深入理解 JavaScript 引擎与消息队列的底层原理

深入理解 JavaScript 引擎与消息队列的底层原理 JavaScript 是现代 Web 开发中最为重要的编程语言之一，它的运行和执行方式常常是开发者关注的重点。为了更好地理解 JavaScript 的执行过程，我们需要深入探索 JavaScript 引擎的工作原理，尤其…...

编程日记 2025/7/13 16:42:11

使用 ANSYS Forming 和 LS-DYNA 进行金属成形仿真简介

了解金属成型金属成型是制造业中的关键过程，其中原材料通过变形转化为所需的形状。这可能包括冲压、弯曲和深拉等操作。这些工艺的质量和效率在很大程度上取决于对各种参数的精确控制，例如材料特性、工具几何形状和加工条件。为了优化这些参数并确保成功…...

编程日记 2025/7/16 23:24:23

001-mysql安装

[rootcentos701 ~]# hostname -I 10.0.0.200 172.17.0.1 [rootcentos701 ~]# hostname centos701 [rootcentos701 ~]# rpm -qa | grep mariadb [rootcentos701 ~]# rpm -e --nodeps mariadb-libs-5.5.65-1.el7.x86_64 [rootcentos701 ~]# useradd mysql -s /sbin/nologin #创建…...

编程日记 2025/7/15 5:46:22

相关文章：