cookie session token

接春
146 阅读1分钟

Cookie Session Token 学习笔记

出现背景

  • 由于http协议具有无状态的特性,每次请求之间都是独立的状态,不会对上一次请求的状态进行记录,对于某些有权限的接口,都需要进行用户名密码的验证,非常的繁琐,因此提出了一种通行证的概念,可以通过通行证,记录当前的状态

Cookie

大小 存储

  • cookie大小4kb 存储在浏览器端

键值

  • 由一个个 key value 键值对进行存储

domain

  • 设置可以访问到它的域名
  • 子域名也可以访问到它 基于这种特性 似乎是完成单点登录的一个方法

path

  • 访问到当前cookie的路径

expires

  • 设置过期时间 默认是会话期 即关闭浏览器窗口失效

httponly

  • 由于cookie不具有安全性 设置该属性时 可以防止调用api获取该cookie
  • 阻止xss攻击的一种方法

Secure

  • 安全问题 设置时 当https协议时携带cookie

特点

  • 当发起http请求时,cookie会自动被携带过去,在浏览器与服务端来回穿梭

Session

  • cookie存储在客户端session存储在服务端,记录用户的信息对象,cookie结合session使用, 设置在cookie里的sessionId 与 在服务端的session 有一个映射关系

Token

  • token有三部分组成 头部 负载 签名 经过加密处理的一个字符串,jwt身份认证方式中使用,服务端响应一串token字符串,客户端保存在本地 在每次请求上 都带上token 服务端经过对token字符串的解密 还原出该用户
avatar
文章
阅读
粉丝