1、cookie
http请求是无状态的请求协议,不会记住用户的状态和信息,也不清楚你在之前访问了什么 。用户使用当前的这个浏览器继续访问这个浏览器时,会主动携带这个网站设置的cookie信息。cookie会在浏览器中记录信息,并且在访问时同时携带这个信息浏览器更换或删除cookie后,信息丢失。cookie在浏览器中记录的信息是不安全的,因为不能记录敏感信息 。
2、session
session是在服务器端进行数据的记录,并且在每个用户会生成一个sessionid,并且把这个id设置在用户的浏览器中,也就是设置为cookie。
3、token
token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:用户唯一的身份标识、当前时间的时间戳、签名。可以防止恶意第三方拼接token请求服务器。还可以把不变的参数也放进token,避免多次查库。
token 的认证流程与cookie很相似。
1)用户登录,成功后服务器返回Token给客户端。
2)客户端收到数据后保存在客户端
3)客户端再次访问服务器,将token放入headers中
4)服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码
token与session的不同主要在
1)认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)
2)浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)
3)再次访问时服务器端对token值的处理:服务器对浏览器传来的token值进行解密,解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,所以,即时有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。
总结:
1)session存储于服务器,可以理解为一个状态列表,拥有一个唯一识别符号sessionId,通常存放于cookie中。服务器收到cookie后解析出sessionId,再去session列表中查找,才能找到相应session。依赖cookie
2)cookie类似一个令牌,装有sessionId,存储在客户端,浏览器通常会自动添加。
3)token也类似一个令牌,无状态,用户信息都被加密到token中,服务器收到token后解密就可知道是哪个用户。需要开发者手动添加。
4)token可以抵抗csrf,cookie+session不行。CSRF攻击者之所以屡屡得手,是因为用户请求的验证信息都存在cookie中。攻击者甚至不需要知道验证信息具体是什么直接就通过cookie绕过了验证。针对这点,我们只要不将验证信息存放在cookie中即可。通常的做法是HTTP 请求中利用参数加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。
