http状态,cookie、session、token的对比

http是无状态的,也就是说断开会话了服务器就不记得任何事情了,但这样对于用户会很麻烦,因为要不停输入用户名和密码

cookie是放在浏览器里的数据,第一次访问后服务器会set cookie,然后浏览器保存这个cookie,没发送都带着这个cookie,这样就不用每次我们手动输入账户名和密码,但这并不安全,假设电脑被黑了,浏览器里的个人信息就泄露了。并且一旦我们换个浏览器或者换台电脑,就没有这个cookie了。

所以,当用户第一次登陆后,服务器会创建一个带有签名的无规律字符串session(会话)返回给用户浏览器,这样就算黑客拿到session id也没啥大用,这是带签名的。当session的生命周期结束就会让用户重新输入用户名和密码

但是随着互联网发展,访问量激增,每个用户都存储一个session id在服务器内存里,服务器吃不消。并且session保存在一个服务器节点里,要是访问到别的节点上就识别不出来了。json web token(jwt)应运而生。现在是token(令牌)存在了浏览器客户端,服务器端只是来验证这个token,相当于是cpu换内存用

具体来说就是客户端发送header、payload、signature,然后服务端通过前两模块和加密密钥来计算比对signature,

token的方式,可以看出服务端密钥的重要性就显而易见,一旦泄露整个机制就崩塌了,这个时候就需要考虑HTTPS了。

相关推荐
wear工程师1 小时前
Go 的 map 并发读写,面试里别上来就答「sync.Map」
面试·go
再吃一根胡萝卜1 小时前
别再只谈 Prompt 了,2026 年 AI 落地拼的是 Harness Engineering
人工智能·面试
浩哥学JavaAI2 小时前
2026年最新AI agent面试(09)_AI编程ClaudeCode
人工智能·面试·ai编程
时代的狂4 小时前
RabbitMQ 面试问答
分布式·面试·rabbitmq
儒雅的烤地瓜4 小时前
计算机网络 | 网络诊断双刃剑:Tracert路由追踪实战与Windows防火墙端口配置指南
tcp/ip·计算机网络·wireshark·防火墙·powershell·cmd
Hyyy4 小时前
流式渲染的基础——SSE
前端·后端·面试
用户852495071845 小时前
手把手教你打造专属 AI 技能(SKILL):从会议纪要秘书到 AI 日报主编
面试
KaifuZeng5 小时前
电路面试问题汇总一
单片机·嵌入式硬件·面试·电路
不要葱花5 小时前
接下来我将复现 10 篇强化学习算法:第 3 篇,一杯喜茶,搞定 Search-R1
算法·面试
嘟嘟07175 小时前
像水流一样——前端流式输出完整指南(3)
面试·github