HTTP是无状态协议,每次请求都是独立的,这降低了服务器的负担,但有时候也需要维护客户端与服务端之间的状态,所有Cookie、Session就是有来维护状态的一种机制。
Cookie
- cookie保存在客户端:cookie是服务器返回并保存在浏览器端的一小块数据
- 在同一域名下每次请求都会自动携带上该域名的cookie
- cookie不能被跨域携带:在跨域下,浏览器会丢弃服务器返回的cookie,如果需要跨域携带,需要服务器和浏览器添加相应的
header,并且只允许使用HTTPS
cookie 重要的属性
| 属性 | 说明 |
|---|---|
| name=value | 键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型 - 如果值为 Unicode 字符,需要为字符编码。 - 如果值为二进制数据,则需要使用 BASE64 编码。 |
| domain | 指定 cookie 所属域名,默认是当前域名 |
| path | 指定 cookie 在哪个路径(路由)下生效,默认是 '/' 。 如果设置为 /abc,则只有 /abc 下的路由可以访问到该 cookie,如:/abc/read。 |
| maxAge | cookie 失效的时间,单位秒。如果为整数,则该 cookie 在 maxAge 秒后失效。如果为负数,该 cookie 为临时 cookie ,关闭浏览器即失效,浏览器也不会以任何形式保存该 cookie 。如果为 0,表示删除该 cookie 。默认为 -1。 - 比 expires 好用。 |
| expires | 过期时间,在设置的某个时间点后该 cookie 就会失效。 一般浏览器的 cookie 都是默认储存的,当关闭浏览器结束这个会话的时候,这个 cookie 也就会被删除 |
| secure | 该 cookie 是否仅被使用安全协议传输。安全协议有 HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。 当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效。 |
| httpOnly | 如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还是能通过 Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全 |
Session
- Session是在Cookie基础上实现的另一种保存会话状态的机制
- Session保存在服务端,SessionID保存在浏览器的Cookie中
- SessionID是连接Cookie与Session的桥梁
- 由于Session是由Cookie实现的,所以存在和Cookie一样的缺陷
Session的运行流程
Cookie和Session的区别
- Cookie是保存在浏览器;Session是保存在服务器,SessionID是保存在浏览器,SessionID就像是一把打开Session的钥匙
- Session保存在服务器所以比Cookie要安全一些,非法脚本可以拿到浏览器上的Cookie
- Session保存在Session数据库中,一旦Session数据库宕机,所有用户都无法登录
JWT
这里提供阮一峰老师的 JSON Web Token 入门教程
Token与JWT的区别
-
Token:服务端验证客户端发送过来的 Token 时,还需要查询数据库获取用户信息,然后验证 Token 是否有效。
-
JWT: 将 Token 和 Payload 加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,不需要查询或者减少查询数据库,因为 JWT 自包含了用户信息和加密的数据。
