当前位置: 首页 > news >正文

session和cookie

news 2025/7/20 2:08:35

cookie和session结合使用

web开发发展至今,cookie和session的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里,一般有两种存储方式:

1、存储在服务端:通过cookie存储一个session_id,然后具体的数据则是保存在session中。如果用户已经登录,则服务器会在cookie中保存一个session_id,下次再次请求的时候,会把该session_id携带上来,服务器根据session_id在session库中获取用户的session数据。就能知道该用户到底是谁,以及之前保存的一些状态信息。这种专业术语叫做server side session。
2、将session数据加密,然后存储在cookie中。这种专业术语叫做client side session。flask采用的就是这种方式,但是也可以替换成其他形式。

JWT

JWT由三个部分组成

  1. Header:头部通常由两部分信息组成,token 的类型和使用的签名算法,通常是 {"alg":"HS256","typ":"JWT"}

  2. Payload:负载部分是 JWT 的主要信息存储部分,也是 JWT 的核心所在。它包含了一些声明(Claim),即对实体(通常指用户)及其它数据的描述,比如用户名、用户 ID、角色、过期时间等,由 JSON 对象来表示。

  3. Signature:签名部分,是整个 JWT 的防篡改保证。通常是将前两部分用 base64 编码后拼接起来,然后使用指定的算法(例如 HMAC、RSA)进行加密生成的。通过签名可以验证 JWT 是否被篡改过。

JWT的工作流程如下:

  1. 用户登录:用户在客户端(如浏览器)输入用户名和密码,发送到认证中心(授权服务器)进行验证。

  2. 认证中心验证:认证中心验证用户的用户名和密码是否正确,如果正确则生成一个JWT,并将其发送回客户端。

    /*生成JWT*/
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;public class JwtUtil {private static final String SECRET_KEY = "yourSecretKey";public static String generateToken(String username, long expirationTimeMillis) {Date now = new Date();Date expirationTime = new Date(now.getTime() + expirationTimeMillis);return Jwts.builder().setSubject(username).setIssuedAt(now).setExpiration(expirationTime).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();}
}

  3. 客户端存储JWT:客户端(浏览器)收到JWT后,通常会将其存储在Cookie或LocalStorage中。

  4. 访问应用系统:当用户访问其他应用系统时,会将存储的JWT附加到HTTP请求的头部中。

token、session、cookie

Token和Session+Cookie都是实现用户认证和授权的方式,但它们在实现上有一些区别。

  1. Token是一种无状态的认证机制,它是基于加密的令牌,服务器不需要保存用户的登录状态。当用户登录成功后,服务器会生成一个Token,并返回给客户端。客户端之后的每次请求都需要携带这个Token,服务器通过解析Token来验证用户身份和权限。Token通常使用在前后端分离的架构中,适用于分布式应用和跨域请求。

  2. Session+Cookie是一种有状态的认证机制,它通过在客户端浏览器中保存一个Session ID,将用户的登录状态保存在服务器端的Session中。服务器在用户登录时会创建一个Session,并将Session ID通过Cookie发送给客户端,客户端在后续的请求中会自动携带该Cookie。服务器通过Session ID来查找对应的Session,从而识别用户和验证用户状态。Session+Cookie通常使用在传统的Web应用中,需要服务器端保存用户的登录状态。

总体来说,Token更加适用于无状态、分布式、跨域等场景,而Session+Cookie更加适用于有状态、传统Web应用等场景。选择哪种方式取决于你的应用需求和架构设计。在现代的Web开发中,由于前后端分离和分布式架构的普及,Token认证方式较为流行。但对于一些特定场景和遗留系统,Session+Cookie仍然有其应用价值。

http://www.lryc.cn/news/104620.html

相关文章:

  • P7243 最大公约数
  • ES6基础知识九:你是怎么理解ES6中Module的?使用场景?
  • TensorFlow项目练手(三)——基于GRU股票走势预测任务
  • 微信小程序页面传值为对象[Object Object]详解
  • Redis篇
  • Entity Framework(EF)查询
  • 使用Pytest生成HTML测试报告
  • DSA之图(4):图的应用
  • [SQL挖掘机] - 窗口函数 - row_number
  • 【论文阅读】通过解缠绕表示学习提升领域泛化能力用于主题感知的作文评分
  • 二分查找P1873 [COCI2011-2012#5] EKO / 砍树
  • 【BOOST程序库】正则表达式相关操作
  • 阿里云国际版在使用过程中应该注意什么呢?
  • Flutter Provider 共享状态管理
  • std vector 用法
  • vue vite ts electron ipc addon-napi c arm64
  • 机器人科普--AGILOX 叉车
  • Django的生命周期流程图(补充)、路由层urls.py文件、无名分组和有名分组、反向解析(无名反向解析、有名反向解析)、路由分发、伪静态
  • selenium交互代码
  • 下载远程服务器文件
  • [SQL挖掘机] - 索引
  • C++STL库中的list
  • 【LeetCode 75】第十七题(1493)删掉一个元素以后全为1的最长子数组
  • 配置IPv6 over IPv4 GRE隧道示例
  • Google Earth Engine谷歌地球引擎提取多波段长期反射率数据后绘制折线图并导出为Excel
  • 第三大的数
  • 正则表达式中的方括号[]有什么用?
  • SQL编写规范
  • Azure pipeline自动化打包发布
  • 【算法提高:动态规划】1.4 状态机模型 TODO