session和token

已于 2025-02-27 18:03:47 修改
阅读量1k 收藏 23
点赞数 21
CC 4.0 BY-SA版权
文章标签: 服务器 数据库 运维
于 2025-02-27 18:03:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33382118/article/details/145910547

在 Web 开发中,会话(session)和令牌(token)都是用于身份验证和授权的机制,但它们在实现方式、存储位置、安全性以及适用场景上有一些显著的区别。

1. 存储位置

  • 会话(Session)

    • 会话数据通常存储在服务器端,每个会话都有一个唯一的会话 ID,这个 ID 通过 cookie 发送给客户端。
    • 客户端在后续请求中通过 cookie 发送会话 ID,服务器使用会话 ID 来检索会话数据。

  • 令牌(Token)

    • 令牌通常存储在客户端,如浏览器的本地存储或 cookie 中。
    • 客户端在每次请求时将令牌包含在请求头中,服务器验证令牌的有效性。

2. 数据传输

  • 会话(Session)

    • 会话 ID 通过 cookie 传递,通常使用 session_id 这样的 cookie 名称。
    • 会话数据存储在服务器端,客户端只传递会话 ID。

  • 令牌(Token)

    • 令牌通过请求头传递,通常使用 Authorization 头,格式为 Bearer <token>
    • 令牌本身包含了用户的身份信息和权限信息。

3. 安全性

  • 会话(Session)

    • 会话 ID 存储在 cookie 中,可以通过设置 HttpOnlySecure 标志来防止 XSS 和 CSRF 攻击。
    • 会话数据存储在服务器端,相对安全,但需要处理会话劫持和固定攻击。

  • 令牌(Token)

    • 令牌存储在客户端,需要通过 HTTPS 传输以防止中间人攻击。
    • 令牌通常使用签名算法(如 HMAC 或 RSA)来确保其完整性和来源。
    • 令牌可以设置有效期,过期后需要重新生成。

4. 适用场景

  • 会话(Session)

    • 适用于需要在服务器端存储大量用户状态信息的场景。
    • 适用于需要频繁更新用户状态信息的场景。
    • 适用于传统的 Web 应用,尤其是那些不需要跨域请求的场景。

  • 令牌(Token)

    • 适用于需要跨域请求的场景,如单点登录(SSO)和 API 认证。
    • 适用于移动应用和微服务架构,因为令牌可以在多个服务之间传递。
    • 适用于需要减少服务器端存储和处理会话数据的场景。

5. 性能和扩展性

  • 会话(Session)

    • 会话数据存储在服务器端,需要处理会话的创建、存储和清理,可能会增加服务器的负担。
    • 在分布式系统中,需要实现会话同步,以确保会话数据在多个服务器之间一致。

  • 令牌(Token)

    • 令牌存储在客户端,服务器端不需要存储会话数据,减少了服务器的负担。
    • 令牌可以在多个服务之间传递,适用于微服务架构。

总结

  • 会话(Session):适用于传统的 Web 应用,需要在服务器端存储大量用户状态信息。
  • 令牌(Token):适用于现代 Web 应用,尤其是需要跨域请求、移动应用和微服务架构的场景。

选择使用会话还是令牌,取决于具体的应用需求、安全性要求和架构设计。在某些情况下,也可以结合使用会话和令牌,以充分利用它们的优点。

在 Web 开发和网络安全中,令牌(token)是一种用于验证和授权的机制。令牌通常是一个加密的字符串,用于在客户端和服务器之间传递身份验证和授权信息。令牌可以用于替代传统的会话管理,特别是在需要跨域请求、移动应用或微服务架构的场景中。

令牌的工作原理

  1. 生成令牌

    • 当用户成功登录时,服务器生成一个令牌,并将其返回给客户端。
    • 令牌通常包含用户的身份信息和权限信息。

  2. 令牌传递

    • 客户端在后续请求中将令牌包含在请求头中,通常使用 Authorization 头。
    • 服务器在接收到请求后,验证令牌的有效性,并根据令牌中的信息进行授权。

  3. 令牌验证

    • 服务器验证令牌的签名,确保其未被篡改。
    • 服务器检查令牌的有效期,确保其未过期。
    • 服务器根据令牌中的权限信息,决定是否允许请求。

  4. 令牌过期和刷新

    • 令牌通常有一个有效期,过期后需要重新生成。
    • 可以使用刷新令牌(refresh token)来获取新的访问令牌,而无需重新登录。

常见的令牌类型

  1. JWT(JSON Web Tokens)

    • JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。
    • JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
    • 头部通常包含令牌的类型和使用的签名算法。
    • 载荷包含声明(claims),如用户信息、权限等。
    • 签名用于验证令牌的完整性和来源。

  2. OAuth 2.0 令牌

    • OAuth 2.0 是一种授权框架,用于授权第三方应用访问用户资源。
    • OAuth 令牌通常用于授权第三方应用访问用户的资源,而无需共享用户的密码。
    • OAuth 令牌可以是访问令牌(access token)或刷新令牌(refresh token)。

  3. 自定义令牌

    • 一些应用可能会使用自定义的令牌格式,根据具体需求进行设计。

JWT 的结构

  1. 头部(Header)

    • 包含令牌的类型和使用的签名算法。
    • 例如:{"alg": "HS256", "typ": "JWT"}

  2. 载荷(Payload)

最低0.47元/天 解锁文章

200万优质内容无限畅学
sessiontoken鉴权
Ly_LittleStar的博客
10-17 1220
1.什么是token? 在接口的响应结果中,经常会出现类似这样的返回值: {"msg":"success", "token":"eysdjsdAshdjhfjisjfoisjdiv" } 往往需要在访问下一个接口时传递token数据。 curl -x POST -H Authorization:eysdjsdAshdjhfjisjfoisjdiv <http:127.0.0.1:5000/user> {"alg":"HS256","typ":"JWT"} 所以token
用户登录认证sessiontoken技术的区别是什么,如何选择使用哪一种技术?
qq_29781527的博客
02-15 1231
Session 是有状态的,服务器存储会话数据;Token 是无状态的,客户端存储包含用户信息的令牌
SessionToken 的区别
热门推荐
love_onefly的博客
06-19 2万+
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。2. session生成方式?答:浏览器第一次访问服务器服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将sessionid...
Session Token
weixin_43702295的博客
12-27 1464
在构建用户身份管理系统时,选择会话Session)还是令牌Token)是一个关键决策,取决于系统的需求特定的使用场景。本文将深入探讨何时适合使用会话,何时适合使用令牌,以帮助开发人员在实际应用中做出明智的选择提示:以下是本篇文章正文内容,下面案例可供参考众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。
tokensession的区别
weixin_30820151的博客
08-14 565
  sessiontoken都是用来保持会话,功能相同 一、session机制,原理    session是服务端存储的一个对象,主要用来存储所有访问过该服务端的客户端的用户信息(也可以存储其他信息),从而实现保持用户会话状态。但是服务器重启时,内存会被销毁,存储的用户信息也就消失了。     不同的用户访问服务端的时候会在session对象中存储键值对,“键”用来存储...
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、SessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Session Token 区别
旷野历程
02-23 1102
众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。它的基本工作流程是,当用户第一次请求Web服务器时,服务器会生成一个唯一的Session,并将其存储在服务器端(通常可以持久化到数据库中)。然后,服务器通过响应头的方式将该Session的标识符(SessionID)返回给浏览器,并存储在浏览器的Cookie中。
SessionToken
Hornsey的博客
06-01 940
Sessiontoken是网络连接中常用到的两种机制,一般用来保持连接的客户端信息,但两种实现存在差异。 session session是由Web服务器维护的一种连接信息,可以用来存储当前连接的客户端相关信息。session默认超时时间为30分钟,可进行配置。使用postman进行接口测试时,每次连接使用一个新的session。如果两个连接想使用同一个session,可以在将第一个请求返回的JS...
Session,Token相关区别
赵个赵的博客
08-28 1171
Session,Token相关区别 1. 为什么要有session的出现? 答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。 2. session生成方式? 答:浏览器第一次访问服务器服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是se...
浅谈SessionToken
weixin_72125569的博客
09-06 1725
SessionToken的区别及使用
sessionToken的区别
tht_shen的博客
05-20 1485
SessionToken的区别
SessionToKen的区别
weixin_46406553的博客
10-21 3231
HttpSession概述 session也是一个域对象之一,它的范围是在一个会话范围之类有效,session既然是域对象,那么当然就要有getAttribute()setAttribute()系列的方法了 Token概述 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名密码并进行对比,判断用户名密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第
Tokensession的区别
m0_53856016的博客
09-14 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Toke n便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名密码。二、什么是session服务器为了保存用户状态而创建的一个特殊的对象。当浏览器第一次访问服务器时,服务器创建一个session对象(该对象有一个唯一的id,一般称之为。
Session、CookieToken介绍
测试开发小记
04-15 608
目录session认证session认证过程cookie与session的区别Token认证Token认证过程sessiontoken的区别keep-alive HTTP是一个无状态的面向连接的协议,服务器不知道客户端的状态,比如使用用户名密码认证成功后,在下一次的请求中,服务器不知道用户是谁,如果需要后续服务,需要进行重新认证。然而,在某些场景,我们需要保存某些状态,比如在购物网站进行商品购买时,在某个域名下浏览多个网页,选择多个商品,这种情况下需要保存已加入购物车的商品信息,在需要支付时,也要保存用户
干掉状态:从sessiontoken
GarfieldEr007的专栏
03-27 2683
1 美好的旧时光 我经常怀念三十年前那美好的旧时光, 工作很轻松, 生活很悠闲。 上班的时候偶尔有些HTTP的请求发到我这里, 我简单的看一下, 取出相对应的html文档,图片,发回去就可以了, 然后就可以继续喝茶聊天。 我的创造者们对我很好, 他们制定的一个简单HTTP协议, 就是请求加响应,  尤其是我不用记住是谁刚刚发了HTTP请求
什么是sessiontoken
最新发布
weixin_42333247的博客
03-13 1101
Session服务器为每个用户创建的临时身份凭证,用于跟踪用户在服务器端的活动状态,例如玩家登录后,服务器生成唯一Session ID(如a1b2c3d4),并在服务端存储对应的玩家数据(如用户ID、登录时间、角色属性等)
cookie、sessiontoken详谈
sinat_22065775的博客
07-17 502
cookie、sessiontoken都是web访问很常用的工具,首先三者都是为了解决http无状态协议而出现的。 cookie是一种客户端保持状态的方案。客户端访问web服务器时,服务器在客户端的机器上访问的缓存。同时浏览器还会缓存一些静态资源等来加速浏览器的访问,cookie在这其中是非常特殊的存在。浏览器缓存主要有两类:缓存协商:Last-modified ,Etag 彻底缓存:cac...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值