从“记住我”到 Web 认证:Cookie、JWT 和 Session 的故事
文章目录
- 1. 初识 HTTP:一场没有记忆的对话
- 2. Cookie:网站的“记忆” 🍪
- 3. Session:服务端的“记忆” 🎯
- 4. JWT:让用户自己带着“身份证” 🔑
- 5. Cookie vs Session vs JWT 总结 📊
- 6. 最终选择:用对工具才是关键! 🔥
- 📌 你学到了什么?
1. 初识 HTTP:一场没有记忆的对话
小明最近开发了一个旅游网站,每天有很多用户访问。但他发现了一个问题:
用户登录后,刷新一下页面就得重新登录?!😨
他百思不得其解,为什么网站不能记住用户的登录状态?
这时,他的师兄告诉他:
“这是因为 HTTP 是无状态的,每次请求都是全新的,服务器根本不知道你是谁。”
小明恍然大悟,但随之而来的新问题是——如何让服务器记住用户的身份呢?
2. Cookie:网站的“记忆” 🍪
师兄介绍了第一种解决方案:Cookie。
💡 Cookie 是存储在浏览器中的一小段数据,它可以在每次请求时自动携带到服务器,让服务器识别用户身份。
小明的实现方式:
-
用户登录成功后,服务器生成一个
Set-Cookie响应头,把用户身份信息存到 Cookie 里:
Set-Cookie: user=12345; Expires=Wed, 21 Oct 2025 07:28:00 GMT -
之后每次请求,浏览器都会自动带上 Cookie:
Cookie: user=12345 -
服务器检查
user=12345,发现是小明,返回登录后的页面。
🌟 Cookie 的优点:
- 服务器无须存储会话信息,完全由客户端管理。
- 支持不同域名的访问控制(如
www.example.com和api.example.com共享 Cookie)。
⚠️ 但 Cookie 有几个明显的缺陷:
- 安全性低:存储在客户端,容易被篡改或盗取(可以使用
HttpOnly限制 JS 访问)。 - 存储空间有限:单个 Cookie 不能超过 4KB,大量数据存不下。
- 每次请求都会携带,影响带宽和性能。
小明想了想,发现 Cookie 存在安全性问题,不太适合存储敏感信息,比如登录凭证。于是,他又去了解新的方案。
3. Session:服务端的“记忆” 🎯
师兄又介绍了另一种方案:Session。
💡 Session 通过在服务器端存储用户信息,并用一个唯一的 Session ID 让用户“自报家门”。
小明的实现方式:
-
用户登录成功后,服务器生成一个
Session ID
(如
abc123),并存储用户信息:
session.setAttribute("user", "小明"); -
服务器通过
Set-Cookie把
Session ID发送给浏览器:
Set-Cookie: session_id=abc123; HttpOnly -
之后用户的请求会带上
session_id=abc123,服务器查找对应的用户信息,返回登录页面。
🌟 Session 的优点:
- 更安全:用户信息存储在服务器,不会暴露在客户端。
- 可以存储更大的数据,不像 Cookie 受 4KB 限制。
⚠️ 但也有缺点:
- 占用服务器资源:每个用户都需要服务器存储 Session,会增加内存和数据库的压力。
- 无法跨域:不同域名下的 Session 不能共享。
小明发现,Session 解决了 Cookie 的安全问题,但如果用户量大,Session 可能会占用太多服务器资源。
于是,他又去探索更轻量级的身份认证方案。
4. JWT:让用户自己带着“身份证” 🔑
这时,小明听说了一种无状态的身份认证方式——JWT(JSON Web Token)。
💡 JWT 是一种基于 Token(令牌)的身份认证机制,用户登录后,服务器返回一个加密的 Token,之后用户只需带上这个 Token 进行身份认证,服务器不需要存储 Session。
小明的实现方式:
-
用户登录成功后,服务器生成一个
JWT Token
:
{"userId": 12345,"exp": "2025-12-31T23:59:59Z" }服务器用
密钥
对它进行加密并返回给用户:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsIn... -
之后用户每次请求时,把 JWT 放入
Authorization头里:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsIn... -
服务器用密钥解密 JWT,验证其有效性,然后解析出
userId=12345,继续处理请求。
🌟 JWT 的优点:
- 无状态,适用于分布式系统:服务器不需要存储 Session,适合微服务架构。
- 支持跨域访问:不像 Cookie 受 Same-Origin Policy 限制,JWT 可以放在
Authorization头里,跨域传输。 - 可携带额外信息:可以嵌入用户角色、权限等信息,减少数据库查询。
⚠️ 但 JWT 也有缺点:
- 一旦被泄露,无法撤销(Session 可以在服务器端删除)。
- Token 过大,每次请求都带上 JWT,会占用带宽。
小明发现,JWT 适合无状态的微服务架构,但如果只是在单体应用里,Session 可能更适合。
5. Cookie vs Session vs JWT 总结 📊
| 方案 | 存储位置 | 适用场景 | 安全性 | 服务器压力 | 是否支持跨域 |
|---|---|---|---|---|---|
| Cookie | 客户端 | 轻量级存储,如用户偏好 | ❌ 易被篡改 | ✅ 低 | ⚠️ 受 Same-Origin 限制 |
| Session | 服务器 | 传统 Web 应用,单体架构 | ✅ 安全 | ❌ 高(需存 Session) | ❌ 不能跨域 |
| JWT | 客户端 | 分布式系统、微服务 | ⚠️ 需保护 Token | ✅ 低(无状态) | ✅ 支持 |
6. 最终选择:用对工具才是关键! 🔥
小明终于明白了:
- 简单存储 👉 用 Cookie
- 单体应用的用户认证 👉 用 Session
- 微服务、移动端 API 认证 👉 用 JWT
他兴奋地优化了自己的旅游网站,并根据需求选择了合适的身份认证方式。😃
📌 你学到了什么?
✅ HTTP 是无状态的,需要额外机制记住用户身份。
✅ Cookie 存储在客户端,适用于轻量级数据存储,但不适合存敏感信息。
✅ Session 存储在服务器,更安全,但占用资源,不支持跨域。
✅ JWT 是无状态的 Token 认证方式,适用于分布式系统,但需要妥善管理 Token。
博客主页: 总是学不会.
相关文章:
从“记住我”到 Web 认证:Cookie、JWT 和 Session 的故事
文章目录 1. 初识 HTTP:一场没有记忆的对话2. Cookie:网站的“记忆” 🍪3. Session:服务端的“记忆” 🎯4. JWT:让用户自己带着“身份证” 🔑5. Cookie vs Session vs JWT 总结 📊6.…...
Idea编译项目很久之后,提示 Error:java:OutOfMemoryError:insufficient memory
项目挺老的的了,平常项目启动,也要挺久的,但是最起码能启动成功,今天下午的时候,项目启动了十几分,一直在转圈,后面控制台输出了这一行异常 Error:java:OutOfMemoryError:insufficient memory …...
wordpress使用CorePress主题设置项总结
宝塔面板设置 软件商店中安装的软件有:(宝塔网站加速3.1)(Nginx 1.18.0)(MySql 5.6.50)(PHP-5.6)(phpMyAdmin 4.4)(Python项目管理器 …...
HTTP非流式请求 vs HTTP流式请求
文章目录 HTTP 非流式请求 vs 流式请求一、核心区别 服务端代码示例(Node.js/Express)非流式请求处理流式请求处理 客户端请求示例非流式请求(浏览器fetch)流式请求处理(浏览器fetch) Python客户端示例&…...
LSTM长短期记忆网络-原理分析
1 简介 概念 LSTM(Long Short-Term Memory)也称为长短期记忆网络,是一种改进的循环神经网络(RNN),专门设计用于解决传统RNN的梯度消失问题和长程依赖问题。LSTM通过引入门机制和细胞状态,能够更…...
IP------PPP协议
这只是IP的其中一块内容PPP,IP还有更多内容可以查看IP专栏,前一章内容为网络类型,可通过以下路径查看IP---网络类型-CSDN博客,欢迎指正 3.PPP协议 1.PPP优点 网络类型:p2p PPP---点到点协议 兼容性会更强凡是接口或…...
Java 实现快速排序算法:一条快速通道,分而治之
大家好,今天我们来聊聊快速排序(QuickSort)算法,这个经典的排序算法被广泛应用于各种需要高效排序的场景。作为一种分治法(Divide and Conquer)算法,快速排序的效率在平均情况下非常高ÿ…...
JWT+redis实现令牌刷新优化方案
令牌刷新优化方案的详细实现步骤: 1. 令牌服务层改造 1.1 JWT工具类增强 // JwtUtils.java 新增方法 public class JwtUtils {// 生成带动态过期时间的令牌public static String createToken(String subject, String userId, String username, long expirationMi…...
基于 C++ Qt 的 Fluent Design 组件库 QFluentWidgets
简介 QFluentWidgets 是一个基于 Qt 的 Fluent Designer 组件库,内置超过 150 个开箱即用的 Fluent Designer 组件,支持亮暗主题无缝切换和自定义主题色。 编译示例 以 Qt5 为例(Qt6 也支持),将 libQFluentWidgets.d…...
ClkLog里程碑:荣获2024上海开源技术应用创新竞赛三等奖
2024年10月,ClkLog团队参加了由上海计算机软件技术开发中心、上海开源信息技术协会联合承办的2024上海数智融合“智慧工匠”选树、“领军先锋”评选活动——开源技术应用创新竞赛。我们不仅成功晋级决赛,还荣获了三等奖!这一成就不仅是对ClkL…...
边缘计算收益低的三大指标
边缘计算收益低的三大指标主要包括以下方面: 1. 资源贡献不足: 边缘计算的收益通常基于所提供的带宽、存储和计算资源来计算。如果设备的网络带宽有限、在线时间短或提供的存储容量较小,可能无法满足平台设定的最低贡献标准,从而导…...
C# 确保程序只有一个实例运行
常规需求 C#程序只能运行一次,不能多开: using System; using System.Collections.Generic; using System.Linq; using System.Windows.Forms; using System.Threading; using System.Runtime.InteropServices; using System.Security.Principal; namespace BallLocation {sta…...
有没有什么免费的AI工具可以帮忙做简单的ppt?
互联网各领域资料分享专区(不定期更新): Sheet 正文 1. 博思AIPPT 特点:专为中文用户设计,支持文本/文件导入生成PPT,内置海量模板和智能排版功能,涵盖商务、教育等多种场景。可一键优化布局、配色,并集成AI绘图功能(文生图/图生图)。适用场景:职场汇报、教育培训、商…...
TCP基本入门-简单认识一下什么是TCP
部分内容来源:小林Coding TCP的特点 1.面向连接 一定是“一对一”才能连接,不能像 UDP 协议可以一个主机同时向多个主机发送消息,也就是一对多是无法做到的 2.可靠的 无论的网络链路中出现了怎样的链路变化,TCP 都可以保证一个…...
)
ollama提问命令行程序demo(python)
import requests import json# 定义请求的 URL 和数据 url http://localhost:11434/api/generate data {"model": "deepseek-r1:1.5b","prompt": "写一首关于春天的诗" }# 发送 POST 请求并以流式方式接收响应 response requests.p…...
校园快递助手小程序毕业系统设计
系统功能介绍 管理员端 1)登录:输入账号密码进行登录 2)用户管理:查看编辑添加删除 学生信息 3)寄件包裹管理:查看所有的包裹信息,及物流信息 4)待取件信息:查看已到达的…...
基于MATLAB红外弱小目标检测MPCM算法复现
摘要:本文详细介绍了一种基于人类视觉系统特性的红外弱小目标检测算法——Multiscale patch-based contrast measure (MPCM)。该算法通过增强目标与背景的对比度,有效检测红外图像中的弱小目标,并在MATLAB环境中进行了复现与实验验证。 关键…...
MySQL 的存储引擎有哪些?它们之间有什么区别?
MySQL 支持多种存储引擎,每种存储引擎都有其独特的特性和适用场景。以下是 MySQL 中常见的存储引擎及其主要区别: 1.常见存储引擎及其特点 (1)InnoDB • 事务支持:支持完整的 ACID 特性,适用于需要事务处理的场景。 • 锁机制&…...
windows下适用msvc编译ffmpeg 适用于ffmpeg-7.1
需要的工具: visual studio 2019 (可以是其他版本,只是本人电脑上装的为2019) msys2 ffmpeg-7.1源码 1. 修改msys2_shell.cmd 在msys2目录修改msys2_shell.cmd 打开后找到行set MSYS2_PATH_TYPEinherit 删除开头的rem 2. 运行msys2 运行x64 Native Tools Command …...
Docker快速使用指南
docker pull ubuntu:22.04 //先拉取一个基础镜像,一般是操作系统创建一个Dockerfile,放在任意目录下,内容如下 # 使用 Ubuntu 22.04 作为基础镜像 FROM ubuntu:22.04# 设置环境变量,避免安装过程中出现交互提示 ENV DEBIAN_FRONT…...
Mysql表字段字符集未设置导致乱码问题
项目场景: 在使用mysql的text类型作为字段类型【未设置编码】,且表结构【设置了编码集】的条件下,查询表这个字段会出现乱码的情况。 问题描述 今日测试小伙伴给题主提出了一个bug,数据库当中的text文本字段在存储json的情况下&…...
Git:多人协作
目录 多人协作一 准备工作 开发者1准备工作 开发者2准备工作 协作开发 将内容合并进master 多人协作二 开发者1进行工作 开发者2进行工作 特殊场景 将内容合并进master 之前所学习的Git操作,是为了多人协作开发做铺垫的,因为在公司中…...
JSX基础 —— 识别JS表达式
在JSX中可以通过 大括号语法 { } 识别JS中的表达式,比如常见的变量、函数调用、方法调用等等 1、使用引号传递字符串 2、使用JavaScript变量 3、函数调用和方法调用 (函数和方法本质没有区别,这里默认: 函数是自己定义的,方法是…...
docker镜像和容器(二)
在开始这篇文章之前,有几个需要了解的概念 docker镜像是什么 docker镜像是什么(有兴趣可以参考一下这篇知乎的回答) 文章这里引用一个回答 电脑装系统的时候,需要一张盘,我们称其为镜像,镜像是一个固定的文件,这次读…...
软件工程复试专业课-测试
测试 1 软件质量2 黑盒测试2.1 概念2.2 等价划分类 2.3 边值分析2.4 错误推测2.5 因果图 3 白盒测试3.1概念3.2 覆盖标准3.2.1 语句覆盖3.2.2 判断覆盖3.2.3 条件覆盖3.2.4 判定/条件覆盖3.2.5 条件组合覆盖3.2.6 路径覆盖 4 软件测试的四个阶段5 测试工具 1 软件质量 定义&…...
Unity XR-XR Interaction Toolkit开发使用方法(十)组件介绍(XR Interaction Group)
目录 一、插件介绍 二、主要组件 XR Interaction Manager XR Controller XR Interactor XR Direct Interactor XR Ray Interactor XR Socket Interactor XR Gaze Interactor 三、XR Interaction Group 1、组件介绍 2、核心功能与特点 优先级与冲突管理 动态交互切…...
【2025.2.25更新】wordpress免费AI插件,文章内容、图片自动生成、视频自动生成、网站AI客服、批量采集文章,内置deepseek联网满血版
wordpress免费AI插件,文章内容、文章图片、长尾关键词、视频自动生成、网站AI客服、批量采集文章,插件已接入腾讯云大模型知识引擎xDeepSeek,基于腾讯云大模型知识引擎xDeepSeek可联网满血版,插件可实现文章生成、长尾关键词生成、…...
ISIS(中间系统到中间系统)——基础
ISIS是一项通用的动态路由协议,其隶属于链路状态路由协议,最初运行与OSI七层的网络层,采用组播地址224.0.0.14和224.0.0.15两个组波段,由于其较高的拓展性与高速收敛,被大多数运营商网络所使用 起源 ISIS最初是由国际…...
DeepSeek 开源狂欢周(二)DeepEP深度技术解析 | 解锁 MoE 模型并行加速
在大模型时代,Mixture-of-Experts (MoE) 模型凭借其强大的容量和高效的计算能力,成为研究和应用的热点。然而,MoE 模型的训练和推理面临着巨大的专家并行通信挑战。近日,DeepSeek 开源了 DeepEP 项目,为解决这一难题提…...
Linux网络之传输层协议(UDP,TCP协议)
目录 重新认识端口号 端口号划分 netstat pidof UDP协议 UDP的特点 面向数据报 UDP的缓冲区 全双工和半双工 TCP协议 TCP的特点 TCP报头分析 源端口,目标端口,数据偏移(报文首部长度) 序号 确认号 窗口 6个标志位 ACK SYN …...