cookie,session,token

目的:解决用户登录状态

从一个简单的登录开始说起,

在我们访问bilibili的时候,第一次需要登录,但后续就不需要登录了,可以直接访问bilibili。

而且每次在页面请求服务器的资源都需要维持登录状态,如果没有使用任何一种技术(cookie,session,token),则需要我们每次请求的时候,都需要将账号密码包含在请求中,这种方式,既不安全,也很麻烦。

那有没有什么好的解决办法呢?

这时候cookie出现了,cookie在客户端-服务器之间的流程如下:

也就是使用了cookie后,用户在第一次成功登录后,服务器会将用户的信息响应到客户端中,客户端(浏览器)会将用户信息保存到cookie中,也就是在客户端中保存了用户信息。那么在之后的每次访问服务器过程中,客户端(浏览器)会自动将cookie的内容包含在请求头(request header)中,如此便维持了用户的登录状态。

但这种方式会有很多的问题:

  • 不安全,用户信息存储在客户端,客户可以修改信息

  • 容量有限,默认4kb

  • 用户可以禁用cookie

于是,session技术出来了,不同于cookie把内容存储在客户端,session把内容信息存储在服务器端。

在用户成功登录后,服务器会生成一个sessionID,并将sessionID响应到客户端中,客户端自动将sessionID保存在浏览器的cookie中。

后续用户的访问,也会自动将sessionID包含在请求头中,服务器判断sessionID是否存在,存在则表明用户已登录,即维持登录状态。而且整个过程是自动完成的,程序员只需要往session中存数据即可,使用起来十分方便。

同样,session优缺点如下:

优点:

  • 安全性高,相比较cookie将用户信息存储在客户端,session将用户信息存储在服务器端,因此安全性较高

  • 容量大,可以保存对象

缺点:

  • 占用服务器资源,由于session容量大,因此在高并发过程中十分占用服务器资源

  • 扩展性差

  • 跨域限制

    在分布式场景中,会有多台服务器,用户登录会在其中一台服务器中生成sessionID,而其他服务器没有sessionID,如果用户的下一次请求被分发到其他服务器中,则会误判用户没有登录。

    而且在目前后端分离的大环境中,会有多个前端(web,小程序,h5,安卓端,ios端),每个端都会有各自的域名端口,这个时候,前端请求后端会有跨域,跨域情况下,cookie默认是无法传递的,而sessionID本质上还是使用了cookie,也会被限制。因此需要前端单独去设置cookie允许跨域传递。

因此,在前后端的背景下,session也不再适用,于是token技术出现了。

token其实就是一个字符串,而JWT(Json Web Token)对token进行了一个规范。

Jwt由以点(.)分隔的三个部分组成,它们是:

  • Header

  • Payload

  • Signature

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

其形式为xxxx.xxxx.xxxx

并且可以将其解析为三个部分

Header 由Token的类型(JWT)和所使用的签名算法(HMAC SHA265)组成

Payload为有效负载,其中包含你要放的数据内容。

Signature,这部分是一个签名,是对Header和Payload数据签名,确保上面的内容不被篡改。

JWT的认证流程:

用户在登录成功后,服务器会生成一个JWT,然后将token响应到客户端,存放到request header中,之后的每次请求会带上token,服务器接收到token会解密,检查signature是否被篡改。

优点:

  • 适用于前后端分离场景和分布式项目

  • 解决了session和coookie面临的跨域和存储压力问题

缺点:

  • JWT默认不加密,因此会导致数据泄密,但可以将原始令牌加密,来传输私密信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/325358.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【硬件模块】ESP-01SWiFi模块基于AT指令详解(WiFi,TCP/IP,MQTT)

ESP-01S ESP-01S是由安信可科技开发的一款Wi-Fi模块。其核心处理器是ESP8266,该处理器在较小尺寸的封装中集成了业界领先的Tensilica L106超低功耗32位微型MCU,带有16位精简模式,主频支持80MHz和160MHz,并集成了Wi-Fi MAC/BB/RF/P…

手把手教你用 spacy3 训练中文NER

文章目录 模型文件下载训练模型准备数据转化成 doc_bin 格式模型训练配置生成初始配置补全完整配置 开始训练 测试模型参考文献 模型文件下载 https://github.com/explosion/spacy-models/releases?qzh&expandedtrue 简单测试一下ner效果,发现根本不能用 训…

Maven:继承和聚合

Maven高级 分模块设计和开发 如果在我们自己的项目中全部功能在同一个项目中开发,在其他项目中想要使用我们封装的组件和工具类并不方便 不方便项目的维护和管理 项目中的通用组件难以复用 所以我们需要使用分模块设计 分模块设计 在项目设计阶段,可以将大的项目拆分成若…

物联网杀虫灯—新型的环保杀虫设备

型号推荐:云境天合TH-FD2S】物联网杀虫灯是一种新型环保杀虫设备,其中风吸式太阳能杀虫灯作为其一种特殊类型,展现了独特的工作原理和优势。 风吸式太阳能杀虫灯以太阳能电池板为电源,白天储存电源,晚上为杀虫灯提供电…

spsr 的恢复出错,导致 thumb 指令集的 it 条件运行指令运行异常,清晰的调试思路帮助快速解决问题

记一次调试过程 这是一个在 arm 架构上的 RTOS 上的调试过程。问题现象为使用 thumb 指令集的 libgcc 库的情况下,浮点运算随机出错。经过一番追踪调试,逐步缩小问题范围,最后定位问题,成功解决。 场景 在某款的国产 RTOS 上&a…

使用Flask构建POST请求的Web应用

文章目录 准备工作创建路由处理POST请求创建表单页面运行应用结论 在Web开发中,处理POST请求是一项常见任务,特别是在构建表单提交、用户注册和数据提交等功能时。Flask是一个简单而强大的Python Web框架,它提供了方便的工具来处理HTTP请求&a…

Spring编程使用DDD的小把戏

场景 现在流行充血领域层,在原本只存储对象的java类中,增加一些方法去替代原本写在service层的crud, 但是例如service这种一般都是托管给spring的,我们使用的ORM也都托管给spring,这样方便在service层调用mybatis的m…

数据结构绪论

1.数据:是客观事物的符号表示,是一切能够输入到计算机中,并被计算机处理的符号的总称。 数据元素:数据的基本单位。 数据项:是数据元素中独立的,最小的单位。 数据对象:是性质相同的数据元素…

OSTE-Web-Log-Analyzer:基于Python的Web服务器日志自动化分析工具

关于OSTE-Web-Log-Analyzer OSTE-Web-Log-Analyzer是一款功能强大的Web服务器日志自动化分析工具,该工具专为安全研究人员设计,能够使用Python Web日志分析工具(Python Web Log Analyzer)帮助广大研究人员以自动化的形式实现Web服…

云动态摘要 2024-05-12

给您带来云厂商的最新动态,最新产品资讯和最新优惠更新。 最新优惠与活动 [免费试用]即刻畅享自研SaaS产品 腾讯云 2024-04-25 涵盖办公协同、营销拓客、上云安全保障、数据分析处理等多场景 云服务器ECS试用产品续用 阿里云 2024-04-14 云服务器ECS试用产品续用…

Linux学习笔记7---仿STM32自建寄存器库

为了开发方便,ST 官方为 STM32F103 编写了一个叫做 stm32f10x.h 的文件,在这个文件里面定义了 STM32F103 所有外设寄存器。而有些芯片是没有这种寄存器库的,在没有的情况下要学会自己建立一个寄存器库。NXP 官方并没有为 I.MX6UL 编写类似 st…

Linux与windows网络管理

文章目录 一、TCP/IP1.1、TCP/IP概念TCP/IP是什么TCP/IP的作用TCP/IP的特点TCP/IP的工作原理 1.2、TCP/IP网络发展史1.3、OSI网络模型1.4、TCP/IP网络模型1.5、linux中配置网络网络配置文件位置DNS配置文件主机名配置文件常用网络查看命令 1.6、windows中配置网络CMD中网络常用…

springboot中mybatisplus注意事项

使用代码生成工具CodeGenerator 需要修改的内容 dsc.setUsername(“root”); mysql账号dsc.setPassword(“root”); mysql密码strategy.setInclude(“crm_edu”); 表名pc.setModuleName(“eduservice”); //模块名 package com.test.demo;import com.baomidou.mybatisplus.a…

Flink checkpoint 源码分析- Checkpoint snapshot 处理流程

背景 在上一篇博客中我们分析了代码中barrier的是如何流动传递的。Flink checkpoint 源码分析- Checkpoint barrier 传递源码分析-CSDN博客 最后跟踪到了代码org.apache.flink.streaming.runtime.io.checkpointing.CheckpointedInputGate#handleEvent 现在我们接着跟踪相应…

面向电商家居行业3D室内场景合成中的空间感知

本文主要介绍了3D场景合成技术在电商领域,尤其是家居家装行业的应用。它解释了如何使用3D场景合成创建逼真的室内设计,让消费者能够交互式地查看和体验产品,提高购物的趣味性和效率。文章提到了两种主要的3D室内场景生成算法:传统…

Electron | 桌面应用的开发神器

初探 Electron 教程将介绍 Electron 打包应用的全过程,从本地测试,打包,到 GitHub 自动化。讲解 Electron Forge 和 Electron Builder 的用法,以及如何在 GitHub Actions 中自动化生成和发布应用。 官方资源 Electron Document…

Vue.js【路由】

初识路由 提到路由(Route),一般我们会联想到网络中常见的路由器(Router),那么路由和路由器之间有什么关联呢?路由是指路由器从一个接口接收到数据,根据数据的目的地址将数据定向传送…

Linux开发--Linux内核开发移植

Linux内核开发移植 Linux内核版本变迁及其获得 Linux是最受欢迎的自由电脑操作系统内核, 是一个用C语言写成, 并且符合POSIX标准的类Unix操作系统 Linux是由芬兰黑客Linus Torvalds开发的, 目的是尝试在英特尔x86架构上提供自由免费的类Un…

IDEA及Maven配置代理及Maven中央仓库配置详解

一、配置代理 首先,需要本地开启代理入口,如图。 这个跟你使用代理软件有关。像我使用的是qv2ray。 其次,idea配置代理,如图。 1.1 idea配置代理 打开Settings,如图 1.2 maven配置代理 maven配置代理,修…

[单机]完美国际_V155_GM工具_VM虚拟机

[端游] 完美国际单机版V155一键端PC电脑网络游戏完美世界幻海凌云家园 本教程仅限学习使用,禁止商用,一切后果与本人无关,此声明具有法律效应!!!! 教程是本人亲自搭建成功的,绝对是…