Cookie、Session和Token三者的区别及使用
需积分: 34 102 浏览量
2018-11-13
10:04:24
上传
评论 9
收藏 16KB DOCX 举报
理解 Cookie、Session 与 Token 三者的区别及使用
前言:在外留学的大学同学发朋友圈求助问,登录网址的时候总是弹出 cookie,她不知道
是 accept 还是 refuse,不知道 accept 之后是否有安全隐患,下面来介绍下 cookie
1.Cookie(指缓存数据)
通俗讲,是访问某些网站后在本地存储的一些网站相关信息,下次访问时减少一些步骤。
更准确的说法是:Cookies 是服务器在本地机器上存储的小段文本并随每一个请求发送至同
一服务器,是在客户端保持状态的方案。
Cookie 的主要内容包括:名字,值,过期时间,路径和域。使用 Fiddler 抓包就可以看见,
比方说我们打开百度的某个网站可以看到 Headers 包括 Cookie
key, value 形式。过期时间可设置的,如不设,则浏览器关掉就消失了,存储在内存当中,
否则就按设置的时间来存储在硬盘上的,过期后自动清除,比方说开关机关闭再打开浏览
器后他都会还存在,前者称之为 Session cookie 又叫 transient cookie,后者称之为 Persistent
cookie 又叫 permenent cookie。路径和域就是对应的域名,a 网站的 cookie 自然不能给 b 用。
2.Session
存在服务器的一种用来存放用户数据的类 HashTable 结构。
浏览器第一次发送请求时,服务器自动生成了一 HashTable 和一 Session ID 来唯一标识这个
HashTable,并将其通过响应发送到浏览器。浏览器第二次发送请求会将前一次服务器响应
中的 Session ID 放在请求中一并发送到服务器上,服务器从请求中提取出 Session ID,并和
保存的所有 Session ID 进行对比,找到这个用户对应的 HashTable。
一般这个值会有个时间限制,超时后毁掉这个值,默认 30 分钟。
当用户在应用程序的 Web 页间跳转时,存储在 Session 对象中的变量不会丢失而是在整个
用户会话中一直存在下去。
Session 的实现方式和 Cookie 有一定关系。建立一个连接就生成一个 session id,打开几个页
面就好几个了,这里就用到了 Cookie,把 session id 存在 Cookie 中,每次访问的时候将
Session id 带过去就可以识别了.
3.token
token 的意思是“令牌”,是用户身份的验证方式,最简单的 token 组成:uid(用户唯一的身
份标识)、&me(当前时间的时间戳)、sign(签名,由 token 的前几位+盐以哈希算法压缩成一
定长的十六进制字符串,可以防止恶意第三方拼接 token 请求服务器)。还可以把不变的参
数也放进 token,避免多次查库
资源评论
