-
session 和 cookie为什么会出现
- http协议无状态,即服务器不知道客户端的历史请求记录
-
cookie的定义
- http协议中的cookie包括web cookie和浏览器cookie,其是服务器发送到浏览器的一小段数据,浏览器会将cookie进行存储并在下一次发送请求时将cookie一起发送,通常,cookie用于判断两个请求是否来自于同一浏览器,如用户保持登录状态
- cookie主要用于三个目的
- 会话管理:登录、购物车、游戏得分等服务器应该记住的内容
- 个性化:用户偏好、主题或其它设置
- 追踪:记录和分析用户行为
- cookie的分类:
- session cookie
- 不包含到期日期,存储在内存中而不是磁盘中,浏览器关闭时此cookie将永久消失
- persistent cookie
- 包含有效期,被视为持久化cookie,在到指定日期时,cookie将从磁盘中删除
- cookie的secure和httponly标记
- 安全的cookie需经过https协议通过加密方式发送到服务器,但即使是安全的也不应该将敏感信息存储在cookie中,因为其本质上不安全
- httponly时微软对cookie做的扩展,其值指定cookie是否可通过客户端脚本访问
- 会话中若缺少httponly则会导致攻击者通过程序获取到用户的cookie信息,造成cookie信息泄露增加攻击者的跨站脚本攻击威胁
- cookie的作用域
- Domain和Path标识定义了cookie的作用域,即cookie应该发送给哪些URL
-
session的定义
- 客户端请求服务端,服务端开辟一块内存空间,即session对象,存储结构为concurrentHashMap.同时生成对应的sessionId,并通过响应头 set-cookie:JSESSIONID = XXX 命令向客户端发送要设置cookie的响应,客户端收到响应后在本机设置cookie信息,该cookie的过期时间为浏览器会话结束,客户端每次向同一网站发送请求时会携带该cookie信息, 服务器可以利用session存储客户端在同一会话期间的记录,服务器通过读取请求头中的cookie信息获取JSSESION的值得到请求的sessionid
-
session的缺点
- 无法应对负载均衡问题
- A服务器存储了session,但若某时间段内A的访问量激增,通过负载均衡机制,会将其转发到B进行访问,但B服务器中无A的session,会导致session的失效
-
token的定义
- 令牌,是用户身份的验证方式
- 最简单的token由 uid (用户唯一身份标识)、time(当前时间的时间戳)、sign(签名)组成
-
cookie与session的区别
- cookie数据存储在客户端,session数据放在服务器上
- cookie不安全,且保存数据有限
- session一定时间内保存在服务器上,当访问增多,占用服务器的性能
-
cookie与token
- cookie不允许跨域访问,但token支持,前提是传输的用户认证信息通过http头传输
- token是令牌,当用户授权一个程序时,依据token判断用户是否授权该软件
- cookie和token均存储在客户端
-
session与token
- session中的sessionid因为不可预测性而被认为是安全的,但token的认证和授权机制使token安全性比session好
ref: https://cloud.tencent.com/developer/article/1704064
|