当前位置：首页 > news >正文

session和cookie

news 2025/7/6 2:11:20

cookie和session结合使用

web开发发展至今，cookie和session的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里，一般有两种存储方式：

1、存储在服务端：通过cookie存储一个session_id，然后具体的数据则是保存在session中。如果用户已经登录，则服务器会在cookie中保存一个session_id，下次再次请求的时候，会把该session_id携带上来，服务器根据session_id在session库中获取用户的session数据。就能知道该用户到底是谁，以及之前保存的一些状态信息。这种专业术语叫做server side session。
2、将session数据加密，然后存储在cookie中。这种专业术语叫做client side session。flask采用的就是这种方式，但是也可以替换成其他形式。

JWT

JWT由三个部分组成

Header：头部通常由两部分信息组成，token 的类型和使用的签名算法，通常是 {"alg":"HS256","typ":"JWT"}。
Payload：负载部分是 JWT 的主要信息存储部分，也是 JWT 的核心所在。它包含了一些声明（Claim），即对实体（通常指用户）及其它数据的描述，比如用户名、用户 ID、角色、过期时间等，由 JSON 对象来表示。
Signature：签名部分，是整个 JWT 的防篡改保证。通常是将前两部分用 base64 编码后拼接起来，然后使用指定的算法（例如 HMAC、RSA）进行加密生成的。通过签名可以验证 JWT 是否被篡改过。

JWT的工作流程如下：

用户登录：用户在客户端（如浏览器）输入用户名和密码，发送到认证中心（授权服务器）进行验证。

认证中心验证：认证中心验证用户的用户名和密码是否正确，如果正确则生成一个JWT，并将其发送回客户端。

/*生成JWT*/
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;public class JwtUtil {private static final String SECRET_KEY = "yourSecretKey";public static String generateToken(String username, long expirationTimeMillis) {Date now = new Date();Date expirationTime = new Date(now.getTime() + expirationTimeMillis);return Jwts.builder().setSubject(username).setIssuedAt(now).setExpiration(expirationTime).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();}
}

客户端存储JWT：客户端（浏览器）收到JWT后，通常会将其存储在Cookie或LocalStorage中。
访问应用系统：当用户访问其他应用系统时，会将存储的JWT附加到HTTP请求的头部中。

token、session、cookie

Token和Session+Cookie都是实现用户认证和授权的方式，但它们在实现上有一些区别。

Token是一种无状态的认证机制，它是基于加密的令牌，服务器不需要保存用户的登录状态。当用户登录成功后，服务器会生成一个Token，并返回给客户端。客户端之后的每次请求都需要携带这个Token，服务器通过解析Token来验证用户身份和权限。Token通常使用在前后端分离的架构中，适用于分布式应用和跨域请求。
Session+Cookie是一种有状态的认证机制，它通过在客户端浏览器中保存一个Session ID，将用户的登录状态保存在服务器端的Session中。服务器在用户登录时会创建一个Session，并将Session ID通过Cookie发送给客户端，客户端在后续的请求中会自动携带该Cookie。服务器通过Session ID来查找对应的Session，从而识别用户和验证用户状态。Session+Cookie通常使用在传统的Web应用中，需要服务器端保存用户的登录状态。

总体来说，Token更加适用于无状态、分布式、跨域等场景，而Session+Cookie更加适用于有状态、传统Web应用等场景。选择哪种方式取决于你的应用需求和架构设计。在现代的Web开发中，由于前后端分离和分布式架构的普及，Token认证方式较为流行。但对于一些特定场景和遗留系统，Session+Cookie仍然有其应用价值。

session和cookie

cookie和session结合使用

JWT

token、session、cookie

相关文章：

session和cookie

P7243 最大公约数

ES6基础知识九：你是怎么理解ES6中Module的？使用场景？

TensorFlow项目练手（三）——基于GRU股票走势预测任务

微信小程序页面传值为对象[Object Object]详解

Redis篇

Entity Framework（EF）查询

使用Pytest生成HTML测试报告

DSA之图（4）：图的应用

[SQL挖掘机] - 窗口函数 - row_number

【论文阅读】通过解缠绕表示学习提升领域泛化能力用于主题感知的作文评分

二分查找P1873 [COCI2011-2012#5] EKO / 砍树

【BOOST程序库】正则表达式相关操作

阿里云国际版在使用过程中应该注意什么呢？

Flutter Provider 共享状态管理

std vector 用法

vue vite ts electron ipc addon-napi c arm64

机器人科普--AGILOX 叉车

Django的生命周期流程图(补充)、路由层urls.py文件、无名分组和有名分组、反向解析(无名反向解析、有名反向解析)、路由分发、伪静态

selenium交互代码

PPT|230页| 制造集团企业供应链端到端的数字化解决方案：从需求到结算的全链路业务闭环构建

django filter 统计数量按属性去重

JUC笔记(上)-复习涉及死锁 volatile synchronized CAS 原子操作

网络编程（UDP编程）

Mac下Android Studio扫描根目录卡死问题记录

Android第十三次面试总结（四大组件基础）

NPOI操作EXCEL文件 ——CAD C# 二次开发

如何应对敏捷转型中的团队阻力

提升移动端网页调试效率：WebDebugX 与常见工具组合实践

springboot 日志类切面，接口成功记录日志，失败不记录