session、cookie、Jwt-token

cookie:

cookie是服务器发送到用户浏览器并保存的小型文本数据,浏览器会在后续请求中自动携带这些数据给同一个服务器。

它的样子:

HTTP响应头中设置Cookie

Set-Cookie: session_id=abc123; Path=/; Max-Age=3600; HttpOnly

浏览器下次请求时自动带上

Cookie: session_id=abc123; theme=dark

cookie的创建过程:

首先是用户访问网站,然后服务器响应时设置cookie,浏览器再保存cookie,用户再次访问的时候会自动带上cookie,服务器会通过读取cookie识别用户。

cookie的属性和参数:

|----------------|---------|-------------------------|
| 属性 | 说明 | 示例 |
| Name/Value | 名称和值 | username=张三 |
| Domain​ | 生效域名 | .example.com(子域名共享) |
| ​Path | 生效路径 | /admin(仅/admin路径下有效) |
| Expires/MaxAge | 过期时间 | MaxAge=86400(1天) |
| HttpOnly | 禁止JS访问 | 防XSS攻击 |
| Secure | 仅Http传输 | 防止中间人窃取 |
| SameSite | 跨站限制 | 防CSRF攻击 |

session:

Session是服务器端的用户状态存储机制 。服务器为每个用户创建一个唯一的Session,但Session ID通常通过Cookie传递给客户端

工作原理:

用户登录,服务器创建session,生成唯一ID,Session ID通过Cookie发送给浏览器,浏览器保存Session ID,下次请求自动带上Session ID,服务器用Session ID查找对应的Session数据。

Token:

Token是自包含的、可验证的身份凭证 ,通常是JSON格式,经过数字签名,服务器不需要存储会话状态

JWT(JSON Web Token)结构:
Go 复制代码
Header.Payload.Signature

实际的Token示例:

Go 复制代码
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.           # Header
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.  # Payload
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c     # Signature
JWT工作流程:

用户登录,服务器验证凭证,生成JWT Token(包含用户信息和签名),返回Token给客户端,客户端存储Token(LocalStorage/Cookie),每次请求在Authorization头中携带Token,服务器验证签名,提取用户信息,返回响应。

相关推荐
葫芦和十三13 小时前
图解 MongoDB 26|片键设计:决定集群命运的一个决定
后端·mongodb·agent
Avan_菜菜14 小时前
使用 Docker + rclone 自建 WebDAV
后端·agent·claude
阳光是sunny15 小时前
别再被 worktree 绕晕了!AI 编程时代你必须掌握的 Git 隔离神器
前端·人工智能·后端
万少16 小时前
万少的博客 - 技术分享与解决方案
前端·javascript·后端
咖啡八杯17 小时前
GoF设计模式——备忘录模式
java·后端·spring·设计模式
苍何17 小时前
腾讯再放大招,企微 Agent 大圆开启内测
后端
ethantan17 小时前
一篇讲解AI Agent 组成:像人一样思考的智能体
人工智能·后端·程序员
apocelipes19 小时前
常用编程语言和库的正则表达式性能对比
c语言·c++·python·性能优化·golang·开发工具和环境
Cosolar19 小时前
vLLM 生产级部署完全指南
人工智能·后端·架构
IT_陈寒19 小时前
垃圾回收器选错了,我的Java服务内存炸了
前端·人工智能·后端