Cookie、Session、Token、JWT 概念与区别

  • 定义:客户端存储的小块数据,用于记住用户信息。
  • 特点
    • 随HTTP请求发送给服务器。
    • 可设置过期时间。
    • 存储容量有限,约4KB。

Session

  • 定义:服务器端存储的会话状态记录。
  • 特点
    • 与会话ID关联,通常通过Cookie发送给客户端。
    • 可存储更多信息,包括敏感信息。

Token

  • 定义:无状态认证的安全令牌。
  • 特点
    • 客户端持有,用于请求认证。
    • 不要求服务器跟踪状态。

JWT (JSON Web Tokens)

  • 定义:基于JSON的轻量级认证机制。
  • 特点
    • 包含头部、负载和签名。
    • 自包含所有验证信息。

二、安全性与跨域支持

安全性

  • Cookie:较低,易被窃取或篡改。
  • Session:较高,数据不在客户端暴露。
  • Token/JWT:较高,特别是JWT包含签名。

跨域支持

  • Cookie:默认不支持,可通过设置实现。
  • Session:不支持,依赖Cookie。
  • Token/JWT:支持,不依赖Cookie。

三、实战应用与Spring Boot 示例

Spring Boot 示例

  • 设置Cookie :通过Set-Cookie头部设置。
  • 设置Session :通过getSession方法设置。
  • 生成Token:使用JWT库生成。

安全措施

  • 使用HTTPS。
  • 密钥管理,不硬编码,使用专业系统。
  • 防止CSRF攻击,使用POST请求和CSRF令牌。

四、最佳实践与安全措施

添加依赖项

  • Spring Security和JWT依赖项添加到pom.xml

JWT工具类

  • 生成和验证JWT的方法。

控制器

  • 处理登录请求,生成JWT。

Spring Security配置

  • 配置使用JWT进行认证。

其他安全措施

  • 定期更新框架和库。
  • 实施输入验证和输出编码。
  • 限制密码尝试次数,防止暴力破解。

五、适用场景

  • Cookie:简单会话跟踪,用户偏好设置。
  • Session:需要服务器记住用户状态的场景。
  • Token:移动应用、API身份验证、跨域请求。
  • JWT:Web应用、移动应用、单点登录。

六、总结

  • Cookie和Session是传统的会话管理机制。
  • Token和JWT提供更灵活和安全的身份验证和授权机制,适用于分布式系统。
  • JWT作为Token的一种实现,具有高可移植性和可扩展性。
相关推荐
球king8 分钟前
CC GUI 插件:在 IDEA 中使用 CodeX
java·ide·intellij-idea
豆瓣鸡37 分钟前
网关、服务 userId 透传
java·微服务·gateway
bksczm1 小时前
Linux之信号量(POSIX标准)
java·开发语言
Devin~Y1 小时前
电商场景下的Java面试实战:从Spring Boot微服务到Kafka、Redis与AI RAG
java·spring boot·redis·elasticsearch·spring cloud·微服务·kafka
吠品1 小时前
PHP里取月份最后一天的几种方式
java·开发语言·eureka
gugucoding1 小时前
2. 【Java】搭建Java开发环境
java·开发语言
wang09072 小时前
自己动手写一个spring之MVC_3
java·spring·mvc
闲猫2 小时前
Spring AI / Models / Chat Models / Ollama
java·人工智能·spring
FREEDOM_X2 小时前
Linux 多线程编程——总结
java·linux·运维·ubuntu
tmlx3I0812 小时前
Tomcat的架构设计和启动过程详解
java·tomcat