当前位置：首页 > news >正文

Cookie、Session、Token区分

news 2025/12/8 19:54:24

一开始接触这三个东西，肯定会被绕的不知道都是干什么的。

1、为什么要有它们？

首先，由于HTTP协议是无状态的，所谓的无状态，其实就是客户端每次想要与服务端通信，都必须重新与服务端连接，这就意味着，请求一次，客户端和服务端就连接一次。并且这些请求之间是没有任何关系的。

那这种情况就会造成一个问题：“我”怎么区分这些请求是不是来自于同一个人？

举个例子就是：一个用户在页面A发起了一个请求获取个人信息，然后呢，在另一个页面同样有一个请求要获取个人信息，这要如何确定这两个请求是不是同一个人发的？

为了解决这种问题，首先要解决的就是，知道发起请求的客户端是谁！这就引出了 cookie、token、session，他们可以解决客户端标识的问题，顺便还能解决一下权限问题。

2、什么是Cookie？

Cookie，有时候也用复数形式Cookies，类型是小型文本文件。是保存在客户端或者说浏览器中的一小块数据，大小限制大致在4KB左右，在以前经常用来存储各种数据，但随着更多浏览器存储方案的出现，cookie存储数据的方式逐渐被取代，主要原因是：

cookie有存储大小的限制，4KB左右

浏览器每次请求会携带cookie在请求头中

字符编码为Unicode，不支持直接存储中文

数据可以被轻易查看

cookie 主要有以下属性：

属性名称	属性含义
name	cookie 的名称
value	cookie 的值
comment	cookie 的描述信息
domain	可以访问该 cookie 的域名
expires	cookie 的过期时间，具体某一时间
maxAge	cookie 的过期时间，比如多少秒后 cookie 过期。
path	cookie 的使用路径
secure	cookie 是否使用安全协议传输，比如 SSL 等
version	cookie 使用的版本号
isHttpOnly	指定该 Cookie 无法通过 JavaScript 脚本拿到，比如 Document.cookie 属性、XMLHttpRequest 对象和 Request API 都拿不到该属性。这样就防止了该 Cookie 被脚本读到，只有浏览器发出 HTTP 请求时，才会带上该 Cookie

如何通过cookie来实现用户确定或权限确定呢？

通常的登陆操作及后续操作大致过程如下：

客户端发送请求到服务端（比如登录请求）。

服务端收到请求后生成一个 session 会话。

服务端响应客户端，并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId。其中 sessionId 就是用来标识客户端的。

客户端收到该请求后，如果服务器给了 Set-Cookie，那么下次浏览器就会在请求头中自动携带 cookie。

客户端发送其它请求，自动携带了 cookie，cookie 中携带有用户信息等。

服务端接收到请求，检测到客户端发送的cookie与其保存的cookie的值保持一致时，直接信任该连接，不再验证，比如通过 sessionId 来判断是否存在会话，存在则正常响应。

cookie 主要有以下特点：

cookie 存储在客户端

cookie 不可跨域，但是在如果设置了 domain，那么它们是可以在一级域名和二级域名之间共享的

3、什么是Session？

在上面所提到的Cookie实现用户权限确认时，提到了session，其实就是会话的意思，session主要是由服务端创建，主要作用就是保存sessionId。而用户与服务端之间的权限确认主要就是通过sessionId

session 由服务端创建，当一个请求发送到服务端时，服务器会检索该请求里面有没有包含 sessionId 标识。
如果包含了 sessionId，则代表服务端已经和客户端创建过 session，然后就通过这个 sessionId 去查找真正的 session。
如果没找到，则为客户端创建一个新的 session，并生成一个新的 sessionId 与 session 对应，然后在响应的时候将 sessionId 给客户端，通常是存储在 cookie 中。
如果在请求中找到了真正的 session，验证通过，正常处理该请求。

总之每一个客户端与服务端连接，服务端都会为该客户端创建一个 session，并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端，客户端将 sessionId 存到 cookie 中。

通常情况下，我们 cookie 和 session 都是结合着来用，当然你也可以单独只使用 cookie 或者单独只使用 session，这里我们就将 cookie 和 session 结合着来用。

所以，整个请求过程图，可以粗略分为这么几个过程：

发送登陆请求

创建一个session，并将session的唯一标识sessionId，设置在Set-Cookie响应头中，响应给客户端

发送其他请求并自动携带Cookie，服务端通过sessionId找到session，没找到则重新创建session

Cookie验证通过，正常响应请求

4、Cookie和Session的区别？

在上文中，介绍到它们两者之间主要是通过 sessionId 关联起来的。

所以可以总结为：sessionId 是 cookie 和 session 之间的桥梁。或者可以换个说法，session 是基于 cookie 实现的，它们两个主要有以下特点：

session 比 cookie 更加安全，因为session是存在服务端的，cookie 是存在客户端的。

cookie 只支持存储字符串数据，session 可以存储任意数据。

cookie 的有效期可以设置较长时间，session 有效期都比较短。

session 存储空间很大，cookie 有限制。

系统想要实现鉴权，可以单独使用 cookie，也可以单独使用 session，但是建议结合两者使用。

5、什么是Token？

既然cookie+session可以实现鉴权认证，那为什么还要有token呢？

主要是因为他们的这种认证方式存在一些缺点：

增加请求体积，浪费性能，因为每次请求都会携带 cookie。

增加服务端资源消耗，因为每个客户端连接进来都需要生成 session，会占用服务端资源的。

容易遭受 CSRF 攻击，即跨站域请求伪造。

为了避免上述缺点，token方式的鉴权诞生

Token 通常叫令牌, 最简单的Token组成：uid(用户唯一身份标识), time(时间戳), sign(签名),还可以把不变的参数也放进token,避免多次查库。我们将 token 进行解密就可以拿到诸如 uid 这类的信息，然后通过 uid 来进行接下来的鉴权操作。

token 是如何生成的：

cookie 是服务端设置了 set-cookie 响应头之后，浏览器会自动保存 cookie，然后下一次发送请求的时候会自动把 cookie 携带上。而token 主要是由服务器生成，然后返回给客户端，客户端手动把 token 存下来，比如利用 localstorage 或者直接存到 cookie 当中也行。

Token 的使用流程:

A：当用户首次登录成功（注册也是一种可以适用的场景）之后, 服务器端就会生成一个 token 值，这个值，会在服务器保存token值(保存在数据库中)，再将这个token值返回给客户端；

B：客户端拿到 token 值之后,进行本地保存；

C：当客户端再次发送网络请求(一般不是登录请求)的时候,就会将这个 token 值附带到参数中发送给服务器；

D：服务器接收到客户端的请求之后,会取出token值与保存在本地(数据库)中的token值做对比。

Token的身份认证逻辑：

对比一：如果两个 token 值相同，说明用户登录成功过!当前用户处于登录状态！

对比二：如果没有这个 token 值, 则说明没有登录成功；

对比三：如果 token 值不同: 说明原来的登录信息已经失效,让用户重新登录。

总结

鉴权认证方式	特点	优点	缺点
cookie	1.存储在客户端。2.请求自动携带 cookie。 3.存储大小 4KB。	1.兼容性好，因为是比较老的技术。 2.很容易实现，因为 cookie 会自动携带和存储。	1.需要单独解决跨域携带问题，比如多台服务器如何共享 cookie。 2.会遭受 CSRF 攻击。 3.存储在客户端，不够安全。
session	1.存储在服务端。2.存储大小无限制。	1.查询速度快，因为是个会话，相当于是在内存中操作。 2.结合 cookie 后很容易实现鉴权。 3.安全，因为存储在服务端。	1.耗费服务器资源，因为每个客户端都会创建 session。 2.占据存储空间，session 相当于存储了一个完整的用户信息。
token	1.体积很小。 2.自由操作存储在哪里。	1.安全，因为 token 一般只有用户 id，就算被截取了也没什么用。 2.无需消耗服务器内存资源，它相当于只存了用户 id，session 相当于存储了用户的所有信息。 3.跨域处理较为方便，比如多台服务器之间可以共用一个 token。	1.查询速度慢，因为 token 只存了用户 id，每次需要去查询数据库。

Cookie、Session、Token区分

1、为什么要有它们？

2、什么是Cookie？

3、什么是Session？

4、Cookie和Session的区别？

5、什么是Token？

总结

相关文章：

Cookie、Session、Token区分

回暖！“数”说城市烟火气背后

JS逆向-百度翻译sign

Fiddler抓包之Fiddler过滤器(Filters)调试

【xib文件的加载过程 Objective-C语言】

react setState学习记录

Docker容器cpu利用率问题

FreeRTOS入门（06）：任务通知

谷歌seo做的外链怎样更快被semrush识别

Java | IO 模式之 JavaBIO 应用

C语言学习及复习笔记-【18】C内存管理

linux--多线程(一)

计算机组成原理(2.1)--系统总线

C语言数组【详解】

并行与体系结构会议

【巨人的肩膀】JAVA面试总结（三）

嵌入式 STM32 SHT31温湿度传感器

哪款蓝牙耳机打电话好用？打电话音质好的蓝牙耳机

【C++】-- 内存泄漏

C++ STL学习之【string类的模拟实现】

(LeetCode 每日一题) 3442. 奇偶频次间的最大差值 I (哈希、字符串)

基于FPGA的PID算法学习———实现PID比例控制算法

华为OD机试-食堂供餐-二分法

DBAPI如何优雅的获取单条数据

爬虫基础学习day2

Device Mapper 机制

招商蛇口 | 执笔CID，启幕低密生活新境

人工智能--安全大模型训练计划：基于Fine-tuning + LLM Agent

通过 Ansible 在 Windows 2022 上安装 IIS Web 服务器

tauri项目，如何在rust端读取电脑环境变量