ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

http 请求中 token 和 cookie 的区别

2022-05-01 20:01:11  阅读:141  来源: 互联网

标签:http 用户 信息 token session cookie 服务端


后端为了验证用户身份,以及判断一个用户登录是否失效,需要前端传一个标识来进行判断。用得最多的便是 cookie 和 token 了。下面总结下他们的一些区别和优缺点。

  • http 无状态,每次请求都要带上 cookie,以帮助识别用户身份。
  • 服务端也可以向客户端 set-cookie, cookie 大小限制 4KB。数量限制每个浏览器实现不一样,chrome 是 50 个。
  • 默认有跨域限制,不可设置跨域共享 cookie,不可设置跨域传递 cookie 。
  • HTML5 之前也可以通过 cookie 进行本地存储,一些很短小的数据。HTML5 之后推荐使用 localStorage 和 sessionStorage 了。

现代浏览器禁止第三方 cookie,为了保护用户隐私。

比如一个场景,A 页面嵌入了京东广告,京东广告是 JS 代码,这些代码可以设置 cookie ,搜集到了用户浏览信息,当这个用户再去访问京东的网站时,京东通过收集到的用户访问信息,就会精准营销,投送广告和猜测用户行为,用户隐私得不到保证。

现代浏览器禁止的就是第三方设置 cookie。

2. session

  • cookie 用户登录,存储用户标识,如 userId。session 在服务端存储用户详细信息,和 cookie 一一对应。
  • cookie 和 session 是常见登录解决方案。

cookie和session区别和联系

  1. 用户登录操作传输用户名和密码到服务端,服务端查询数据库验证账号是否正确,正确就存入当前会话 session,这里一般不通过硬盘存,而是通过 radius 存,更快。存入的信息一般包括用户角色、登录时间等。
  2. 服务端 set-cookie 将 userId 返回给客户端,客户端下一次请求其他接口时,会带上 cookie,这个 cookie 是 userId,浏览器通过这个 userId 去 session 里查找,查找到了证明之前登录过(还没有退出),就做一些操作返回客户端需要的数据。
  3. 如果是其他用户,又按照上面步骤存储到 session 中。

如过上面步骤不用 session 可以吗?

不太好。

  1. 不要 session,就需要把全部详细信息返回给客户端。这很不安全,现在的用户信息都是用户画像了,存储了大量用户非常个性化的信息,很多隐私信息万一被劫持,就泄露了用户信息。
  2. 体积变大,现在用户信息越来越大,越来越详细,体积变大就造成传输变慢。
  • cookie 是 http 规范,token 是自定义传递的。
  • cookie 没有被浏览器存储,下一次请求时便会带上,而 token 需要自己存储在浏览器,下一次请求时再请求头中带上。
  • token 默认没有跨域限制。

如下图,在请求头中传递 token:

请求头中传递 token

如下图,在请求头中传递 cookie:

请求头中传递 cookie

5. JWT

JWT(json web token) 是一种 token 的解决方案。

  1. 用户登录传递用户名和密码,服务端查找数据库如果用户名密码正确则返回一个加密的用户信息字符串,中间用点(.)分隔成三个部分,分别是Header(头部),Payload(负载),Signature(签名)。
  2. 前端自行在本地存储服务端返回的加密用户信息 token 。
  3. 后面的接口请求都带上这个 token。

6. JWT 和 session 哪个更好

他们适合的场景不一样。

  • 对于那种需要严格管理用户信息的需求(快速封禁,保密)的通过 cookie-session 方式存储。
  • 没有特殊要求使用 JWT 很好。

6.1. JWT 优点:

  • 不占用服务器内存
  • 多进程,多服务器不受影响
  • 没有跨域限制

6.2. JWT 缺点

  • 用户信息存在客户端,如果用户违规了,没法快速封禁用户(也可以通过加入黑名单方式封禁,不过成本较高)。
  • 万一服务端密钥泄漏,用户信息就泄漏了。
  • 体积大于 cookie ,所以请求返回会慢一些。

6.3. session 优点

  • 用户信息存在服务端,可以快速封禁用户。
  • 用户信息不容易泄漏,因为传输时只传了用户ID,没有敏感信息。
  • 体积小,请求返回会快一些。

6.4. session 缺点

  • 存储在服务器,硬件成本高,而且他不能简单的存在硬盘中,因为不够快。存在内存中,内存比较贵。
  • 有跨域限制,多进程、多服务不好同步。

标签:http,用户,信息,token,session,cookie,服务端
来源: https://www.cnblogs.com/xinjie-just/p/16213825.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有