浏览器中cookie、session、token存在意义
http协议是无状态协议,请求之间是没有联系的,cookie、session、token可以帮助服务器区分到底是谁在访问
原理是什么?
cookie工作原理:
客户端第一次访问服务器, 服务器端保存客户的信息并且给客户端一个Cookie, 客户端携带Cookie去访问服务端, 服务端通过携带的Cookie找出该用户信息. 服务端就能够知道是谁访问了。
保存方式:cookie由服务器生成,保存在客户端浏览器。
缺点:容易被劫持,不安全。
session工作原理:
session 从字面上讲,就是会话。服务器要知道当前发请求给自己的是谁。这个就类似于你和一个人交谈,你怎么知道当前和你交谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。
保存方式:session保存在服务端
缺点:当用户量太大时,占用服务器资源。
优点: 3.较安全
主要说token~:
token的工作原理:
1.用户通过用户名和密码向服务端发送请求
2.服务端通过验证,生成一个token发送给客户端
3.客户端保存token,发送请求时带上token
4.服务器通过验证,返回数据
token的优势:
1.无状态、可扩展
2.支持移动设备
3.跨程序调用
4.安全
5.Token完全由应用管理,所以它可以避开同源策略Token可以避免 CSRF 攻击Token可以是无状态的,可以在多个服务间共享
三者的区别:
1 Cookie、Session 和 Token 都是用来做持久化处理的,目的就是让客户端和服务端相互认识。Http 请求默认是不持久的没有状态的,谁也不认识谁。
2 Cookie: 是存放在客户端的信息,服务器通过响应头 Set-Cookie 字段给客户端,如果 Cookie 已过期一般是会被清楚的,如果 Cookie 没过期下次访问网站还是会通过请求头的 Cookie 字段带给服务器。
3 Session: 是存放在服务器上面的客户端临时信息,用户离开网站是会被清除的。
4 Token(App)"令牌":用户身份的验证,有点类似于 Cookie ,相对来说更安全,一般流程:
4.1 客户端向服务端申请 Token
4.2 服务端收到请求,会去验证用户信息,签发一个 Token 给客户端,服务端自己也会保存 Token
4.3 客户端收到服务端签发的 Token 会保存起来,每次请求带上 Token
4.4 服务器收到其他请求,会去验证客户端的 Token , 如果成功返回数据,不成功啥都不给或者做其他处理
