【Http 每日一问,访问服务端的鉴权Token放在header还是cookie更合适?】
结论先行:
- token静态的,不变的,放在header里面。 典型场景 ,每次访问时需要带个静态token请求服务端,向服务端表明是谁请求,此时token也可以认为是个固定的access-key。
- token动态的,会失效,放在cookie里面。 典型场景,业务登录态token,存在有效期的,过一段时间可能会失效。
下面具体展开下。
在选择将鉴权 Token 放在 HTTP Header 还是 Cookie 中时,需要考虑安全性、使用场景和具体需求。
将 Token 放在 HTTP Header 中
优点
- 安全性:通过 HTTPS 传输时,Header 中的 Token 不会暴露在 URL 中,减少了被窃取的风险。
- 灵活性:适用于跨域请求(CORS),因为可以在不同的域之间传递 Token。
- 标准化:通常使用
AuthorizationHeader,符合 OAuth 2.0 等标准。
示例
curl -X POST https://company.com/user/v1/ \-H "Authorization: your_token"
将 Token 放在 Cookie 中
优点
- 自动管理:浏览器会自动管理 Cookie 的发送,对比Header ,无需手动设置。
- 生命周期:可以设置 Cookie 的过期时间,到期自动失效。
缺点
- 跨域限制:默认情况下,Cookie 不能跨域发送,可能需要额外配置。
示例
curl -X POST https://company.com/user/v1/ \ --cookie "token=your_token"小结:静态的,需要跨域的 放header里面, 动态的,有生命周期,到期失效或者需要端上失效的,放cookie里面。