Cookie、Session、Token
Cookie
1. 什么是cookie?
- Cookie 是一种由服务器发送到客户端浏览器的小数据片段,用于存储用户的状态信息。例如,用户登录状态或用户偏好设置可以通过Cookie进行管理。
- 计算机cookie更正式地称为 HTTP cookie、网络 cookie、互联网 cookie 或浏览器 cookie。该名称是“魔术 cookie”的缩写版本,“魔术 cookie”是一个术语,指的是计算机接收并在不更改或更改的情况下发回的数据包。
- Cookie 通常包含两部分数据:每个用户的唯一 ID 和网站名称。Cookie 使网站能够在你再次访问它们时检索这些信息,以便它们能够记住你和你的偏好,并根据这些信息为你定制页面内容。如果没有 cookie,你在离开网站后必须重新登录,或者在关闭网页后重新构建你的购物车。这使得 cookie 成为互联网体验的重要组成部分。
简单来说,cookie就相当于你的身份牌,假设一个场景,你现在是国家保密局特工,Cookie就相当于特工的身份牌,并且这个身份牌是加密的(需要暗号口令),用于验证身份(类似于对上口令就能进入保密区域)。你每天到保密区域工作,都需要这个身份牌,以及对口令。但这只是让你能够进去,但你真实的敏感信息(如你的任务、住址)是存储在保密局档案中(服务器中),通过令牌关联,保密局管理人员(服务器)校验无误后,从安全档案库中调取用户的状态和权限。这样的机制既保障了效率又避免了敏感数据暴露。(暗号口令相当于 Session )并且Session 是临时的,每天的暗号会更新,当你下班离开(关闭浏览器或 Session 过期),这个暗号就会失效,下次来需要重新生成新的暗号(重新创建Session)。
但在早期Web场景中,Cookie如同保密局特工的纸质身份牌,其上直接记录明文信息(如特工编号、临时权限),警卫(服务器)仅通过牌面内容验证身份,敏感信息虽部分存于档案库(服务器),但牌面数据可被直接篡改或窃取,存在越权风险;而现代Cookie则进化为电子身份令牌,仅存储无意义序列号(如 token=abc123 ),真实权限、任务等敏感信息加密存储于档案库,每次验证时令牌仅作为「钥匙」触发服务器查询,结合加密传输( Secure )、禁止前端读取( HttpOnly )等机制,既保障通行效率,又实现敏感数据零暴露,从「信息载体」彻底转变为「安全验证枢纽」。
2. Cookie的工作原理是怎么样的?
- 创建:服务器生成Cookie并将其发送到浏览器。
- 存储:浏览器在本地存储Cookie。
- 发送:浏览器在每次向服务器发起请求时自动附带相应的Cookie。
3. Cookie有哪些优缺点呢?
优点:
- 客户端存储:Cookie存储在客户端,服务器负担较轻。
-
自动发送:每次请求时自动发送,适合无状态应用。
缺点
- 容量限制:单个Cookie大小有限制,通常为4KB。
- 安全性:易受CSRF(跨站请求伪造)攻击。
- 易被篡改:Cookie内容可以被客户端修改,需加密处理。
Session
1 .什么是Session?
- Session是在服务器端存储用户会话信息的机制。用户登录后,服务器为其创建一个唯一的Session ID,并将其发送到客户端,客户端将Session ID存储在Cookie中,用于后续的请求。
我们继续沿用刚才的特工例子,在这里,Cookie更像一个临时的身份牌,并且这张卡很小,只能记录简单的信息。并且有被窃取和伪造的风险(安全性低)。我们的门卫通过Cookie来查看身份信息,但不知道你具体的任务细节。而Session是总部的特工机密档案库,里面存储了你的所有信息和任务细节,并且你的ID编号是唯一的,只能通过你这个唯一ID去找。那么这些重要的档案绝不会交给你随身携带,而是被锁在总部(服务器端),只有总部(服务器)才能随时调取和修改。那么这样就大大增加了安全性。
2. Session的工作原理是怎么样的?
-
创建:服务器创建Session并生成唯一的 Session ID。
-
存储:用户的会话数据存储在服务器端。
-
发送:服务器将 Session ID 发送到客户端,客户端将其存储在Cookie中。
-
验证:每次请求时,客户端将 Session ID 发送到服务器,服务器通过 ID 查找对应的会话数据。
3. Session有哪些优缺点呢?
优点:
- 安全性高:敏感数据存储在服务器端,减少数据被篡改的风陷。
- 容量大:可以存储更多的数据。
缺点:
- 服务器负担:服务器需要维护和存储会话状态,可能会增加负担。
- Session过期:如果服务器崩溃,Session可能会消失。
我们可以说,Session是Cookie技术的延伸,Cookie在客户端标记用户身份,而Session是负责在服务器端存储用户的状态。我们为了弥补Cookie技术的不足,所以才引入了Session机制。并且Session是无法独立工作的,我们必须通过Cookie传递一个唯一的标识——Session ID。
Token
1. 什么是Token?
-
Token是一种自包含的数据结构,用于存储用户的身份信息,常见的Token形式有 JWT(JSON Web Token)和 OAuth Token。
我们继续沿用上面的特工举例,对比Cookie和Session,Token更像是总部给特工的一次性密码本,里面包含了所有的信息(包括你的ID,权限,任务细节并加上签名),那我们到达执行任务的地点,只需要把这个一次性密码本给门卫看,门卫(服务器)通过验证签名,来确保密码本没有被篡改,并直接读取任务信息,无需再找总部获取档案。
2.Token的工作原理是怎么样的?
-
创建:服务器生成Token,并包含用户信息。
-
发送:Token发送到客户端,通常由HTTP头部传输。
-
存储:客户端可以将Token存储在 Local Storage 或 Session Storage 中。
-
验证:客户端将Token加入到每次请求中,服务器验证Token的有效性。
3.Token有哪些优缺点呢?
优点
-
自包含:Token包含了所有必要信息,适合无状态的认证机制。
-
扩展性好:支持分布式系统和微服务架构。
缺点
- 安全问题:Token一旦泄露可能会被恶意使用。
- 过期管理:需要额外的机制来处理Token的过期和刷新。
我们可以说 Token 是去中心化的身份凭证,Cookie 和 Session 都需要依赖服务器存储状态,而Token是让客户端自带信息,并且这个信息是一次性的。
Cookie、Session、token 的对比
Cookie 的核心风险在于 浏览器自动管理(自动发送、存储于客户端) 的特性。容易成为攻击者的目标。攻击者可以诱导用户访问恶意网站。
Session 数据存储在服务器内存或数据库中,一旦服务器被攻击(如SQL注入、文件漏洞),攻击者可直接窃取所有用户的 Session 数据。
Token 通常需要客户端主动携带(如放在请求头或URL参数中),而非浏览器自动发送,攻击者难以通过跨站请求伪造(CSRF)获取或利用Token。
| 特性 | Cookie | Session | Token |
| 存储位置 | 客户端存储 | 服务器端存储,客户端存储Session ID | 客户端存储 |
| 安全性 | 易受CSRF攻击 | 更安全,敏感数据存储在服务器端 | 一旦泄露可能被盗用 |
| 容量 | 4KB限制 | 服务器端可以存储更多的数据 | 受限于 Token 大小 |
| 性能 | 自动随请求发送 | 服务器需要维护状态、增加负担 | 无状态机制,适合分布式应用 |
| 使用场景 | 适合简单的用户状态管理 | 适合需要存储大量用户数据的应用 | 适合需要无状态认证和分布式系统的应用 |
相关文章:
Cookie、Session、Token
Cookie 1. 什么是cookie? Cookie 是一种由服务器发送到客户端浏览器的小数据片段,用于存储用户的状态信息。例如,用户登录状态或用户偏好设置可以通过Cookie进行管理。计算机cookie更正式地称为 HTTP cookie、网络 cookie、互联网 cookie 或浏览器 coo…...
设计模式Java
UML类图 概述 类图(Class diagram)是显示了模型的静态结构,特别是模型中存在的类、类的内部结构以及它们与其他类的关系等。类图不显示暂时性的信息。类图是面向对象建模的主要组成部分。 类图的作用 在软件工程中,类图是一种静态的结构图,…...
Word文档图片排版与批量处理工具推荐
先放下载链接:夸克网盘下载 前几天给大家推荐了 Excel 图片调整软件,当时好多小伙伴问有没有 Word 相关的软件。我在网上找了一圈都没找到合适的,最后在我好久之前记录的一个文档里发现了,这不,马上就来给大家推荐,有…...
[案例五] 实体——赋值质量
最近翻阅了实验室其他人编写的一个“质量赋值”功能,能够直接为实体或组件设定质量。出于好奇,我对其进行了分析。由于自己平时没有用到该功能,所以也借此机会学习一下。 在分析过程中,我发现NX 官方其实并没有提供直接修改质量的功能。一般来说,质量是通过“密度 体积”…...
)
手撕四种常用设计模式(工厂,策略,代理,单例)
工厂模式 一、工厂模式的总体好处 解耦:客户端与具体实现类解耦,符合“开闭原则”。统一创建:对象创建交由工厂处理,便于集中控制。增强可维护性:新增对象种类时不需要大改动调用代码。便于扩展:易于管理…...
)
C# 深入理解类(静态函数成员)
静态函数成员 除了静态字段,还有静态函数成员。 如同静态字段,静态函数成员独立于任何类实例。即使没有类的实例,仍然可以调用静 态方法。静态函数成员不能访问实例成员,但能访问其他静态成员。 例如,下面的类包含一…...
数据类型转换
文章目录 基本数据类型(primitive type)整数类型:浮点类型字符类型boolean类型 类型转换类型转换注意点 基本数据类型(primitive type) 整数类型: byte占1个字节范围:-128-127 short占…...
深入理解 TypeScript 中的 unknown 类型:安全处理未知数据的最佳实践
在 TypeScript 的类型体系中,unknown 是一个极具特色的类型。它与 any 看似相似,却在安全性上有着本质差异。本文将从设计理念、核心特性、使用场景及最佳实践等方面深入剖析 unknown,帮助开发者在处理动态数据时既能保持灵活性,又…...
AI:人形机器人的应用场景以及商业化落地潜力分析
应用场景分析 人形机器人的设计使其能够适应人类环境,执行多样化任务。以下是未来主要的应用场景及其详细分析: 医疗与护理 具体应用: 老年护理:协助老年人穿衣、洗澡、喂食,或提供情感陪伴。康复辅助:帮助…...
JavaScript入门【3】面向对象
1.对象: 1.概述: 在js中除了5中基本类型之外,剩下得都是对象Object类型(引用类型),他们的顶级父类是Object;2.形式: 在js中,对象类型的格式为key-value形式,key表示属性,value表示属性的值3.创建对象的方式: 方式1:通过new关键字创建(不常用) let person new Object();// 添…...
亲测有效!OGG 创建抽取进程报错 OGG-08241,如何解决?
前言 今天在测试 OGG 一个功能的时候,需要重新初始化 oggca,所以重装了一下 OGG。重建完之后重新添加抽取进程报错,一直无法添加成功: 经过一翻分析,找到了解决方案,本文记录一下解决过程。 问题描述 OG…...
【第二篇】 初步解析Spring Boot
简介 SpringBoot是由Pivotal团队提供的全新框架,其设计目的是为了用来简化Spring应用的初始搭建以及开发过程的。本文章将详细介绍SpringBoot为什么能够简化项目的搭建以及普通的Spring程序的开发。文章内容若存在错误或需改进的地方,欢迎大家指正&#…...
JVM 机制
目录 一、什么是 JVM: 二、JVM 的运行流程: 三、JVM 内存区域划分: 1、( 1 ) 程序计数器: 1、( 2 ) 元数据区: 1、( 3 ) 栈: 1、( 4 ) 堆: 四、类加载: 1、什么时候会触…...
Java泛型详解
文章目录 1. 引言1.1 什么是泛型1.2 为什么需要泛型1.3 泛型的优势2. 泛型基础2.1 泛型类多个类型参数2.2 泛型方法2.3 泛型接口2.4 类型参数命名约定3. 类型擦除3.1 什么是类型擦除3.2 类型擦除的影响1. 无法获取泛型类型参数的实际类型2. 无法创建泛型类型的数组3. 无法使用`…...
机器学习,深度学习,神经网络,深度神经网络之间有何区别?
先说个人观点:机器学习>神经网络>深度学习≈深度神经网络。深度学习是基于深度神经网络的,深度神经网络和浅层神经网络都是神经网络,而机器学习是包括神经网络在内的算法。 一、机器学习 先说涵盖范围最广的机器学习。机器学习&#…...
AtomicInteger
AtomicInteger 是 Java 并发包 (java.util.concurrent.atomic) 中的一个原子类,用于在多线程环境下对整数进行原子操作。 核心特性 原子性 提供线程安全的原子操作(如自增、加法、比较并交换等),确保在多线程环境中操作不会被中…...
详解:原理、应用与实施)
威布尔比例风险模型(Weibull Proportional Hazards Model, WPHM)详解:原理、应用与实施
威布尔比例风险模型(Weibull Proportional Hazards Model, WPHM)详解:原理、应用与实施 一、核心原理:从威布尔分布到比例风险模型 1. 威布尔分布的数学本质 威布尔分布通过两个关键参数(形状参数 (k) 和尺度参数 (\…...
Dubbo:Docker部署Zookeeper、Dubbo Admin的详细教程和SpringBoot整合Dubbo的实战与演练
🪁🍁 希望本文能给您带来帮助,如果有任何问题,欢迎批评指正!🐅🐾🍁🐥 文章目录 一、背景二、Dubbo概述三、Dubbo与SpringCloud的关系四、Dubbo技术架构五、Docker安装Zoo…...
Windows 上安装下载并配置 Apache Maven
1. 下载 Maven 访问官网: 打开 Apache Maven 下载页面。 选择版本: 下载最新的 Binary zip archive(例如 apache-maven-3.9.9-bin.zip)。 注意:不要下载 -src 版本(那是源码包)。 2. 解压 Mave…...
Unbuntu 命令
Ubuntu 命令速查表 分类命令功能描述示例/常用选项文件与目录ls列出目录内容ls -a(显示隐藏文件); ls -lh(详细列表易读大小) cd切换目录cd ~(主目录); cd ..(上级…...
机器学习-人与机器生数据的区分模型测试-数据处理1
附件为训练数据,总体的流程可以作为参考。 导入依赖 import pandas as pd import os import numpy as np from sklearn.model_selection import train_test_split,GridSearchCV from sklearn.ensemble import RandomForestClassifier,VotingClassifier from skle…...
:认识管道)
【Linux】进程间通信(一):认识管道
📝前言: 这篇文章我们来讲讲进程间通信——认识管道 🎬个人简介:努力学习ing 📋个人专栏:Linux 🎀CSDN主页 愚润求学 🌄其他专栏:C学习笔记,C语言入门基础&a…...
AMD Vivado™ 设计套件生成加密比特流和加密密钥
概括 重要提示:有关使用AMD Vivado™ Design Suite 2016.4 及更早版本进行 eFUSE 编程的重要更新,请参阅AMD设计咨询 68832 。 本应用说明介绍了使用AMD Vivado™ 设计套件生成加密比特流和加密密钥(高级加密标准伽罗瓦/计数器模式 (AES-GCM)…...
)
第三十四节:特征检测与描述-SIFT/SURF 特征 (专利算法)
一、特征检测:计算机视觉的基石 在计算机视觉领域中,特征检测与描述是实现图像理解的核心技术。就像人类通过识别物体边缘、角点等特征来认知世界,算法通过检测图像中的关键特征点来实现: 图像匹配与拼接 物体识别与跟踪 三维重建 运动分析 其中,SIFT(Scale-Invariant F…...
【AI】SpringAI 第二弹:基于多模型实现流式输出
目录 一、基于多模型实现流式输出 1.1 什么是流式输出 1.2 多模型引入 1.3 代码实现 1.3.1 流式输出的API介绍 1.3.2 Flux 源码分析 二、了解 Reactor 模型 三、SSE 协议 一、基于多模型实现流式输出 1.1 什么是流式输出 流式输出(Streaming Output)是指数据在生成过程…...
SQL语句执行问题
执行顺序 select [all|distinct] <目标列的表达式1> AS [别名], <目标列的表达式2> AS [别名]... from <表名1或视图名1> [别名],<表名2或视图名2> [别名]... [where <条件表达式>] [group by <列名>] [having <条件表达式>] [ord…...
模型量化AWQ和GPTQ哪种效果好?
环境: AWQ GPTQ 问题描述: 模型量化AWQ和GPTQ哪种效果好? 解决方案: 关于AWQ(Adaptive Weight Quantization)和GPTQ(Generative Pre-trained Transformer Quantization)这两种量化方法的…...
Github 2025-05-17 Rust开源项目日报 Top10
根据Github Trendings的统计,今日(2025-05-17统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量Rust项目10Dart项目1RustDesk: 用Rust编写的开源远程桌面软件 创建周期:1218 天开发语言:Rust, Dart协议类型:GNU Affero General Public Li…...
借助 CodeBuddy 打造我的图标预览平台 —— IconWiz 开发实录
我正在参加CodeBuddy「首席试玩官」内容创作大赛,本文所使用的 CodeBuddy 免费下载链接:腾讯云代码助手 CodeBuddy - AI 时代的智能编程伙伴 想做一款自己的图标预览平台 这段时间我在做前端 UI 设计时,常常需要到处找图标素材,复…...
)
KL散度 (Kullback-Leibler Divergence)
KL散度,也称为相对熵 (Relative Entropy),是信息论中一个核心概念,用于衡量两个概率分布之间的差异。给定两个概率分布 P ( x ) P(x) P(x) 和 Q ( x ) Q(x) Q(x)(对于离散随机变量)或 p ( x ) p(x) p(x) 和 q ( x …...
【Linux网络】NAT和代理服务
NAT 之前我们讨论了,IPv4协议中,IP地址数量不充足的问题。 原始报文途径路由器WAN口时,对报文中的源IP进行替换的过程,叫做NAT。 NAT技术当前解决IP地址不够用的主要手段,是路由器的一个重要功能: NAT能…...
DeepSeek赋能电商,智能客服机器人破解大型活动人力困境
1. DeepSeek 与电商客服结合的背景 1.1 电商行业客服需求特点 电商行业具有独特的客服需求特点,这些特点决定了智能客服机器人在该行业的必要性和重要性。 高并发性:电商平台的用户数量庞大,尤其是在促销活动期间,用户咨询量会…...
)
Unity序列化字段、单例模式(Singleton Pattern)
一、序列化字段 在Unity中,序列化字段是一个非常重要的概念,主要用于在Unity编辑器中显示和编辑类的成员变量,或者在运行时将对象的状态保存到文件或网络中。 1.Unity序列化字段的作用 在编辑器中显示和编辑字段:默认情况下&…...
一个可拖拉实现列表排序的WPF开源控件
从零学习构建一个完整的系统 推荐一个可通过拖拉,来实现列表元素的排序的WPF控件。 项目简介 gong-wpf-dragdrop是一个开源的.NET项目,用于在WPF应用程序中实现拖放功能,可以让开发人员快速、简单的实现拖放的操作功能。 可以在同一控件内…...
hadoop.proxyuser.代理用户.授信域 用来干什么的
在Hadoop的core-site.xml文件中存在三个可选配置,如下 <property><name>hadoop.proxyuser.root.hosts</name><value>*</value> </property> <property><name>hadoop.proxyuser.root.groups</name><value…...
python 自动化教程
文章目录 前言整数变量字符串变量列表变量算术操作比较操作逻辑操作if语句for循环遍历列表while循环定义函数调用函数导入模块使用模块中的函数启动Chrome浏览器打开网页定位元素并输入内容提交表单关闭浏览器发送GET请求获取网页内容使…...
C++学习:六个月从基础到就业——C++11/14:列表初始化
C学习:六个月从基础到就业——C11/14:列表初始化 本文是我C学习之旅系列的第四十三篇技术文章,也是第三阶段"现代C特性"的第五篇,主要介绍C11/14中的列表初始化特性。查看完整系列目录了解更多内容。 引言 在C11之前&a…...
城市静音革命:当垃圾桶遇上缓冲器
缓冲垃圾桶的核心原理是通过机械或液压装置实现垃圾桶盖的缓慢闭合,包含以下技术要点:能量吸收机制液压式:通过活塞挤压油液产生阻尼力,将动能转化为热能耗散弹簧式:利用弹性变形储存和释放能量,配合摩…...
数据库的规范化设计方法---3种范式
第一范式(1NF):确保表中的每个字段都是不可分割的基本数据项。 第二范式(2NF):在满足1NF的基础上,确保非主属性完全依赖于主键。 第三范式(3NF):在满足2NF的基…...
p024基于Django的网上购物系统的设计与实现
开发语言:Python框架:djangoPython版本:python3.7.7数据库:mysql 5.7数据库工具:Navicat11开发软件:PyCharm 系统展示 管理员登录 管理员功能界面 用户管理 商品类型管理 商品信息管理 系统管理 订单管理…...
C++跨平台开发:挑战与应对策略
C跨平台开发:挑战与应对策略 在如今设备多样、操作系统碎片化的开发环境中,跨平台能力已成为衡量软件生命力与团队工程效率的重要指标。C 作为高性能系统级语言,在游戏引擎、嵌入式系统、实时渲染等领域依旧坚挺。然而,实现“一次…...
对比)
Kotlin 作用域函数(let、run、with、apply、also)对比
Kotlin 的 作用域函数(Scope Functions) 是简化代码逻辑的重要工具,它们通过临时作用域为对象提供更简洁的操作方式。以下是 let、run、with、apply、also 的对比分析: 一、核心区别对比表 函数上下文对象引用返回值是否扩展函数…...
:前沿技术在性能优化中的应用)
JavaScript性能优化实战(11):前沿技术在性能优化中的应用
引言 随着Web应用复杂度和性能需求不断提高,传统的JavaScript优化技术已经无法满足某些高性能计算场景的需求。本文将深入探讨前沿Web技术如何突破JavaScript的性能瓶颈,为Web应用提供接近原生应用的性能体验。从底层计算到图形渲染,从并发处理到动画优化,我们将通过实际案…...
数据结构【AVL树】
AVL树 1.AVL树1.AVL的概念2.平衡因子 2.AVl树的实现2.1AVL树的结构2.2AVL树的插入2.3 旋转2.3.1 旋转的原则 1.AVL树 1.AVL的概念 AVL树可以是一个空树。 它的左右子树都是AVL树,且左右子树的高度差的绝对值不超过1。AVL树是一颗高度平衡搜索二叉树,通…...
电动调节V型球阀:行业应用与材质选择全解析
电动调节V型球阀:行业应用与材质选择全解析 作为工业自动化控制中的关键设备,电动调节V型球阀凭借其独特的结构设计与高性能调节能力,在石油、化工、造纸等高要求领域广泛应用。本文将从核心功能、行业应用场景、材质选择要点等方面深入解析…...
页面上如何显示特殊字符、Unicode字符?
在前端开发中,显示特殊字符通常涉及到HTML实体(HTML Entities)或 Unicode 字符的使用。以下是一些常见的方法来处理特殊字符的显示: 1、HTML实体: HTML为一些常见的特殊字符提供了预定义的实体。例如,要显…...
桌面端进程通信
以下是关于 Electron 桌面端进程通信的基本知识点总结: 一、Electron 进程模型基础 1. 进程类型与职责 进程类型职责权限主进程(Main)创建窗口、系统级操作、IPC中枢完全Node.js访问权限渲染进程(Renderer)展示Web内容、UI交互默认受限(可配置开启Node.js)预加载脚本(Prelo…...
vue2 切换主题色以及单页面好使方法
今天要新增一个页面要根据不同公司切换不同页面主题色,一点一点来,怎么快速更改 el-pagination 分页组件主题色。 <el-pagination :page-size"pageSize" :pager-count"pageCount"layout"sizes, prev, pager, next, jumper,…...
)
三层固定实体架构:高效实现图上的检索增强生成(RAG)
知识图谱正在成为跨各个领域组织和检索信息的强大工具。它们越来越多地与机器学习和自然语言处理技术相结合,以增强信息检索和推理能力。在本文中,我介绍了一种用于构建知识图谱的三层架构,结合了固定本体实体、文档片段和提取的命名实体。通过利用嵌入和余弦相似度,这种方…...
pnpm 与 npm 的核心区别
以下是 pnpm 与 npm 的核心区别总结,涵盖依赖管理、性能、安全性等关键维度: 1. 依赖存储机制 • npm: 每个项目的依赖独立存储于 node_modules,即使多个项目使用相同版本的包,也会重复下载和存储。例如,1…...