当前位置：首页 > news >正文

问心 | 再看token、session和cookie

news 2025/7/4 6:20:32

什么是cookie

HTTP Cookie（也叫 Web Cookie或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

什么是session

Session 代表着服务器和客户端一次会话的过程。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当客户端关闭会话，或者 Session 超时失效时会话结束。

注意：浏览器关闭，会话并不一定结束。

什么是token

token 也称作令牌，由uid+time+sign[+固定参数]
token 的认证方式类似于临时的证书签名，并且是一种服务端无状态的认证方式,。非常适合于 REST API 的场景。所谓无状态就是服务端并不会保存身份认证相关的数据。

token组成：

uid: 用户唯一身份标识
time: 当前时间的时间戳
sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串，以防止第三方恶意拼接
固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库

为什么有cookie和session

浏览器是没有状态的(HTTP 协议无状态)，这意味着浏览器并不知道是张三还是李四在和服务端打交道。这个时候就需要有一个机制来告诉服务端，本次操作用户是否登录，是哪个用户在执行的操作，那这套机制的实现就需要 Cookie 和 Session 的配合。
cookie和session

根据图片中流程可知，SessionID 是连接 Cookie 和 Session 的一道桥梁，大部分系统也是根据此原理来验证用户登录状态。

cookie被禁用了，流程还能正常进行吗

可以用 token 机制。
Token 机制多用于 App 客户端和服务器交互的模式，也可以用于 Web 端做用户状态管理。
Token ，“令牌”。是服务端生成的一串字符串，作为客户端进行请求的一个标识。Token 机制和 Cookie 和 Session 的使用机制比较类似：当用户第一次登录后，服务器根据提交的用户信息生成一个 Token，响应时将 Token 返回给客户端，以后客户端只需带上这个 Token 前来请求数据即可，无需再次登录验证。

区别在于：cookie会被自动携带，而token不会。而且 token 没有 4kb 限制，支持跨域。token 需要开发者处理后主动在 header 中传输，此时请求会变成 非简单请求 。

和cookie相比，token在安全性上有什么优势

token 可以避免 csrf 安全攻击！
因为 form 发起的 POST 请求也并不受到浏览器同源策略的限制（具体可见笔者写过的这篇文章），因此可以任意地使用其他域的 Cookie 向其他域发送 POST 请求，形成 CSRF 攻击。在post请求的瞬间，cookie会被浏览器自动添加到请求头中。
但token不同，token是开发者为了防范 csrf 而特别设计的令牌，浏览器不会自动添加到 headers 里，攻击者也无法访问用户的 token ，所以提交的表单无法通过服务器过滤，也就无法形成攻击。

CSRF攻击之所以能够成功，是因为服务器误把攻击者发送的请求当成了用户自己的请求。但是 token 这种东西不是浏览器会自动携带的，所以能够避免。
误区！token不能避免xss攻击！因为一旦攻击被注入成功，无论 cookie 的获取还是 token 的解析都只是几行代码而已。针对 cookie的xss攻击只能通过浏览器安全头解决。

问心 | 再看token、session和cookie

什么是cookie

什么是session

什么是token

为什么有cookie和session

cookie被禁用了，流程还能正常进行吗

和cookie相比，token在安全性上有什么优势

相关文章：

问心 | 再看token、session和cookie

Ubuntu 安装 CUDA and Cudnn

【漏洞复现】Grafana任意文件读取（CVE-2021-43798）

磨金石教育摄影技能干货分享｜春之旅拍

中断以及 PIC可编程中断控制器

SecureCRT 安装并绑定ENSP设备终端

ESP32设备驱动-TCS3200颜色传感器驱动

＜ JavaScript小技巧：Array构造函数妙用＞

【17】组合逻辑 - VL17/VL19/VL20 用3-8译码器或 4选1多路选择器实现逻辑函数

2023年全国最新二级建造师精选真题及答案19

Java中的 this 和 super

ESP32设备驱动-红外寻迹传感器驱动

初识BFC

随想录二刷Day17——二叉树

Weblogic管理控制台未授权远程命令执行漏洞复现（cve-2020-14882/cve-2020-14883）

STM32F103CubeMX定时器

多态且原理

动态库(二) 创建动态库

opencv加水印

Flume基操

云计算——弹性云计算器（ECS）

阿里云ACP云计算备考笔记 (5)——弹性伸缩

多场景 OkHttpClient 管理器 - Android 网络通信解决方案

大型活动交通拥堵治理的视觉算法应用

python/java环境配置

基于uniapp+WebSocket实现聊天对话、消息监听、消息推送、聊天室等功能，多端兼容

让回归模型不再被异常值“带跑偏“，MSE和Cauchy损失函数在噪声数据环境下的实战对比

Go 并发编程基础：通道（Channel）的使用

Bean 作用域有哪些？如何答出技术深度？

【FTP】ftp文件传输会丢包吗？批量几百个文件传输，有一些文件没有传输完整，如何解决？