专栏首页软测小生一文彻底理解cookie,session,token【白话版】

一文彻底理解cookie,session,token【白话版】

cookie

cookie存储在客户端,HTTP是无状态的,HTTP每次发出的时候会附上该域名下的cookie,从而可以给HTTP附上状态,最常见的就是登录态。

session和token

session和token算是一类的,他们是两种不同的服务器的验证方式。

通俗来说,cookie会存一个value在客户端本地,然后将value附到HTTP上发给服务器,那么服务器是怎么通过这个value来判断用户是否是登录态的呢?这就是session和token做的事情。

session过程

请求过程:

1、客户端向服务器请求,发送用户名和密码

2、服务器生成sessionId,绑定用户数据存储在数据库

3、服务器返回sessionId给客户端

4、客户端用cookie存储sessionId,以后的请求都带上这个sessionId

5、服务器如果收到这个sessionId,那么就去数据库查找用户数据,如果找到了说明验证通过

6、服务器把验证结果返回客户端

token过程

请求过程:

1、客户端向服务器请求,发送用户名和密码

2、服务器根据用户信息通过加密生成token,用户信息包括账号,token过期时间等,具体由服务器自定义。

3、服务器返回token给客户端

4、客户端用cookie存储token,以后的请求都带上这个token

5、服务器把token解密,确认用户信息是否正确,如经过正确就说明验证通过。

6、服务器把验证结果返回客户端

session、token优劣

session

由于sessionId和用户信息相互绑定的数据库存在服务器,所以服务器可以随时让发送出去的一个sessionId失效。这是保障安全的一种重要手段。

token

token的好处是比session更省空间和时间,服务器不需要去管理sessionId和用户信息的数据库,服务器收到token直接解密就可以验证,不需要去数据库查找验证。

但是token发送出去之后,就只能等待它达到过期时间后才会失效,后台无法对其进行控制。

本文分享自微信公众号 - 软测小生(ruancexiaosheng)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一文彻底理解cookie,session,token【专业版】

    1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, ...

    软测小生
  • 性能测试工具Locust--(2)编写locustfile

    locustfile是普通的python文件。唯一的要求是至少声明一个类(我们称之为locust类),该类继承自locust类。

    软测小生
  • 测试必备:jmeter测试http协议接口的各种传参方式

    测试接口,postman和jmeter是用得最频繁的工具,特别是jmeter,支持很多种协议,且除了测功能,还能做自动化测试和性能测试。

    软测小生
  • 面试被问到:Token ,Cookie、Session傻傻分不清楚?

    原文链接:https://cnblogs.com/JamesWang1993/p/8593494.html

    业余草
  • 还分不清 Cookie、Session、Token、JWT?

    cookie 重要的属性属性说明name=value键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型

    coder_koala
  • Uva-------(11462) Age Sort(计数排序)

    B Age Sort Input: Standard Input Output: Standard Output You a...

    Gxjun
  • Git基本操作

    上篇文章我们简单的介绍了Git的诞生和发展,然后也说了Windows环境下Git的安装和一些基本的配置,本文我们就来说一说Git中的一些基本概念和基本操作。 本...

    江南一点雨
  • 你的服务器够安全吗

    近期服务器经常被暴力扫描、攻击, 故周末花时间打理下服务器, 将一些可能存在的风险处理掉. 笔者根据实践总结出一份简单的防范措施列表, 希望能对你有帮助...

    黄泽杰
  • 文件传输协议——FTP

    FTP是在两个计算机之间传输文件的协议。一般有两种情形,一种是需要登录的FTP文件服务器,另外一种FTP服务器是匿名的,它允许任何人进行访问。

    zy010101
  • KinectAzureDK编程实战_Unity下实时 RGB 帧的显示

    我们在之前的 Azure Kinect 编程实战系列文章中写的都是 C++ 下的使用,用到的都是 C++ 下的第三方库,比如 OpenCV,OpenGL,PCL...

    无雨森

扫码关注云+社区

领取腾讯云代金券