526互联

Cookie,Session,Token的详解

发布时间 2023-04-20 15:26:08作者: zhangbinn

Cookie,Session,Token

一、Cookie

  1. cookie是个非常具体的东西,指的是浏览器里能永久存储的一种数据,仅仅是浏览器实现的一种存储功能。

  2. cookie由服务器生成,发送给浏览器,浏览器把cookie以KV形式保存到某个目录下的文本文件内下一次请求同一网站会把该cookie发给服务器。

  3. 由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以cookie数量是有限的。

二、Session

  1. session从字面上看是“会话”的意思。
  2. 服务器为了区分每个请求的身份,服务器就要给每个客户端分配不同的“身份标识”,客户端每次向服务器发请求的时候都带上“身份标识”。浏览器客户端默认以cookie来保存这个“身份标识”。
  3. 服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全。
  4. 但是session有个缺陷,就是当web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

三、cookie和session的区别

  1. session是存储在服务端,cookie是存储在客户端,session的安全性更高
  2. 获取session的信息是通过存放在会话cookie里的session id获取的。而session是存放在服务器的内存中,所以session里的数据不断增加会造成服务器的负担,所以会把很重要的信息放在session中,次要的放在cookie中。
  3. 当浏览器关闭时,会话cookie消失,session id也随之消失。但session的信息依然存在,只是查不到而已。

四、Token

  1. 在web领域基于token的身份验证随处可见,在大多数的使用Web API的互联网公司中,token是多用户下处理仍证的最佳方式。
  2. token的特性
    • 无状态、可扩展
    • 支持移动设备
    • 跨程序调用
    • 安全

五、认证方式

1.传统方式---基于服务器的验证

  • 由于HTTP协议是无状态的,意味着程序需要验证每一次的请求,从而辨别客户端的身份。
  • 程序通过在服务端存储登陆的用户信息来辨别身份。一般通过存储session来完成。

2.基于服务器验证方式的问题

  • session:每次认证用户发起请求,都需要创建记录来存储信息,请求越多,对内存的开销越大。
  • 可扩展性:由于session存放在服务器内存中,当我们想要增加服务器来解决负载问题时,session里的关键信息会限制我们的扩展。
  • CORS(跨域资源共享):当我们扩展应用程序,让数据能够从不同的设备上访问时,跨域资源的共享会成为一个头疼的问题。在使用Ajax抓取另一个域的资源时(移动端访问我们的API服务器),可能会出现禁止请求。
  • CSRF(跨站请求伪造):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,用户在访问银行网站时,容易受到跨站请求伪造的攻击,并且利用其访问其他的网站。

3.基于Token的验证原理

  • 基于Token的身份验证是无状态的,我们不用即将用户的信息存储在服务器或session中。这种概念解决了服务端存储信息的诸多问题。没有session一位置你的程序可以根据需要去增减机器,而不用担心用户登录与否和在哪里登录。

  • Token身份验证的大致过程:

    1.用户通过用户名和密码发送请求
2.程序验证
3.程序返回一个签名的token给客户端
4.客户端存储token,并且每次请求都要携带token
5.服务端验证token并返回数据

  • 每次请求都需要Token。Token应该在HTTP的投不发送从而保证了HTTP请求无状态。

    需要设置属性:
	Access-Control-Allow-Origin: *
从而让服务器能够接受到来自所有域的请求。
需要注意的是,在ACAO头部指定 * 时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。

  • 实现思路

    1.用户登录校验,校验成功后就返回Token给客户端
2.客户端收到数据后保存在客户端
3.客户端每次访问API是携带Token到服务器
4.服务端采用filter过滤器校验,校验通过返回请求数据,校验失败返回错误码。

六、Token的优势

1.无状态、可扩展

在客户端存储的token是无状态的,并且能够被扩展。基于这种无状态和不存储session信息,负载均衡服务器能够将用户的请求传递到任何一台服务器上,因为服务器与用户信息没有关联。

而在传统方式中,我们必须将请求发送到一台存储了该用户session信息的服务器上(session亲和性),因此用户量大的时候,可能会造成拥堵。

2.安全性

请求发送token而不是cookie,能够防止CSRF(跨站请求伪造)攻击。

即使客户端用的是cookie来存储token,cookie也只是存储机制,不用于认证。而且没有session,让我们不再基于session的进行操作。

Token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token又撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证token无效。

3.可扩展性

使用Tokens能够与其他应用共享权限。例如:博客账号和QQ账号关联当通过一个 第三方平台登录QQ时,我们可以将一个博客发到QQ平台中。

使用token可以给第三方应用程序提供自定义的权限限制。当用户通过第三方应用程序来访问数据时,可以通过建立API,给出具有特殊权限的tokens。

4.多平台与跨域

当我们的应用和服务不断扩大的时候,我们可能需要通过多种不同平台或其他应用来接入我们的服务。可以让我们的API只提供数据,我们也可以从CDN提供服务。做如下配置,可以消除CORS带来的问题。只要用户有一个通过了验证的token,数据和资源就能在任何域上被请求到。

Access-Control-Allow-Origin: *

5.基于标准

最常用的是JSON Web Tokens。