cookie、session、token的区别

时间：2019-12-04 15:44:51 阅读：81 评论：0 收藏：0 [点我收藏+]

一. cookie

1.什么是cookie?

Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾，带宽等限制不存在了，人们需要更复杂的互联网交互活动，就必须同服务器保持活动状态（简称：保活）。

Cookie 是在 HTTP 协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器（客户端）上的小文本文件，它可以包含有关用户的信息。无论何时用户链接到服务器，Web 站点都可以访问 Cookie 信息.

2.Cookie时效性

Cookie的默认时效为Session，也就是说浏览器关闭，Cookie会和session一起失效，但是Cookie的有效时间是可以设置的。

Cookie有一个属性expires，设置其值为一个时间，那么当到达此时间后，此cookie失效。

//创建cookie实例。 
HttpCookie cookie = new HttpCookie("id","666"); 
//设置cookie的过期时间，一小时后过期，自动清除文件 
cookie.Expires = DateTime.Now.AddMonths(60);
//将创建的cookie文件输入到浏览器端 
Response.Cookies.Add(cookie);
//读取cookie文件中存储的值 
Response.Write(Request.Cookies["id"].Value);

//cookie的销毁，给他设置一个时间，他就被销毁了
cookie.Expires = DateTime.Now.AddMonths(-60);

3.执行流程：

1)、首先，客户端会发送一个http请求到服务器端。

2)、服务器端接受客户端请求后，发送一个http响应到客户端，这个响应头，其中就包含Set-Cookie头部，浏览器保存Cookie。

3)、浏览器第二次访问，将保存的cookie发给后台，后台识别并更新cookie，返回浏览器再次保存。

二.session

1、session是保存在服务器端，理论上是没有是没有限制，只要你的内存够大

2、浏览器第一次访问服务器时会创建一个session对象并返回一个JSESSIONID=ID的值，
创建一个Cookie对象key为JSSIONID，value为ID的值，将这个Cookie写回浏览器

3、浏览器在第二次访问服务器的时候携带Cookie信息JSESSIONID=ID的值，如果该JSESSIONID的session已经销毁，
那么会重新创建一个新的session再返回一个新的JSESSIONID通过Cookie返回到浏览器

4、针对一个web项目，一个浏览器是共享一个session，就算有两个web项目部署在同一个服务器上，针对两个项目的session是不同的
如：你在tomcat上同时部署了两个web项目，分别是web1、web2。当你在一个浏览器上同时访问web1时创建的session是A1，访问web2时创建的session是A2。
后面你再多次访问web1使用的session还是A1,多次访问web2时使用session就是A2

5、session是基于Cookie技术实现，重启浏览器后再次访问原有的连接依然会创建一个新的session，
因为Cookie在关闭浏览器后就会消失，但是原来服务器的Session还在，只有等到了销毁的时间会自动销毁

6、如果浏览器端禁用了Cookie，那么每次访问都会创建一个新的Session，但是我们可以通过服务器端程序重写URL即可，如果页面多连接多，会增加不必要的工作量，
那可以强制让你用户开启接收Cookie后再让其访问即可。

三.Token

1.token的基本概念

（1）Token的引入：Token是在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，并作出相应提示，在这样的背景下，Token便应运而生。

（2）Token的定义：Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

（3）使用Token的目的：Token的目的是为了减轻服务器的压力，减少频繁的查询数据库，使服务器更加健壮。

2. token的工作原理：

　　1.用户通过用户名和密码向服务端发送请求

　　2.服务端通过验证，生成一个token发送给客户端

　　3.客户端保存token，发送请求时带上token

　　4.服务器通过验证，返回数据

3.token的优势

　　1.无状态、可扩展

　　2.支持移动设备

　　3.跨程序调用

　　4.安全

四.Cookie和Session的区别：

1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能,考虑到减轻服务器性能方面，应当使用cookie。

4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、所以个人建议：将登陆信息等重要信息存放为session；其他信息如果需要保留，可以放在cookie中

五.Token 和 Session 的区别：

　　1.session和 token并不矛盾，作为身份认证token安全性比session好，因为每个请求都有签名还能防止监听以及重放攻击，而session就必须靠链路层来保障通讯安全了。

　　2.Session是一种HTTP存储机制，目的是为无状态的HTTP提供的持久机制。所谓Session认证只是简单的把User信息存储到Session里，因为SID的不可预测性，暂且认为是安全的。这是一种认证手段。

　　3.Token，如果指的是OAuth Token或类似的机制的话，提供的是认证和授权，认证是针对用户，授权是针对App。其目的是让某App有权利访问某用户的信息。这里的Token是唯一的。不可以转移到其它App上，也不可以转到其它用户上。

　　4.token就是令牌，比如你授权（登录）一个程序时，他就是个依据，判断你是否已经授权该软件；cookie就是写在客户端的一个txt文件，里面包括你登录信息之类的，这样你下次在登录某个网站，就会自动调用cookie自动登录用户名。

　　5.session和cookie差不多，只是session是写在服务器端的文件，也需要在客户端写入cookie文件，但是文件里是你的浏览器编号.Session的状态是存储在服务器端，客户端只有session id；而Token的状态是存储在客户端。

cookie、session、token的区别

原文：https://www.cnblogs.com/rong0912/p/11981378.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)