cookie、session与token之间的关系

版权声明：原创博文，共同进步，转载需备注作者和出处 https://blog.csdn.net/qq_37939251/article/details/83511451

cookie、session与token之间的关系

token
令牌，是用户身份的验证方式。
最简单的token组成:uid(用户唯一的身份标识)、time（当前时间的时间戳）、sign（签名）。
对Token认证的五点认识

• 一个Token就是一些信息的集合；
• 在Token中包含足够多的信息，以便在后续请求中减少查询数据库的几率；
• 服务端需要对cookie和HTTP Authrorization Header进行Token信息的检查；
• 基于上一点，你可以用一套token认证代码来面对浏览器类客户端和非浏览器类客户端；
• 因为token是被签名的，所以我们可以认为一个可以解码认证通过的token是由我们系统发放的，其中带的信息是合法有效的；

session
会话，代表服务器与浏览器的一次会话过程，这个过程是连续的，也可以时断时续。
cookie中存放着一个sessionID，请求时会发送这个ID；
session因为请求（request对象）而产生；
session是一个容器，可以存放会话过程中的任何对象；
session的创建与使用总是在服务端，浏览器从来都没有得到过session对象；
session是一种http存储机制，目的是为武装的http提供持久机制。

cookie
储存在用户本地终端上的数据，服务器生成，发送给浏览器，下次请求统一网站给服务器。

cookie与session区别
cookie数据存放在客户端上，session数据放在服务器上；
cookie不是很安全，且保存数据有限；
session一定时间内保存在服务器上,当访问增多，占用服务器性能。

session与token
作为身份认证，token安全行比session好；
Session 认证只是简单的把User 信息存储到Session 里，因为SID 的不可预测性，暂且认为是安全的。这是一种认证手段。 而Token ，如果指的是OAuth Token 或类似的机制的话，提供的是 认证 和 授权 ，认证是针对用户，授权是针对App 。其目的是让 某App有权利访问 某用户 的信息。

token与cookie
Cookie是不允许垮域访问的，但是token是支持的， 前提是传输的用户认证信息通过HTTP头传输；

token就是令牌，比如你授权（登录）一个程序时，他就是个依据，判断你是否已经授权该软件；cookie就是写在客户端的一个txt文件，里面包括你登录信息之类的，这样你下次在登录某个网站，就会自动调用cookie自动登录用户名；session和cookie差不多，只是session是写在服务器端的文件，也需要在客户端写入cookie文件，但是文件里是你的浏览器编号.Session的状态是存储在服务器端，客户端只有session id；而Token的状态是存储在客户端。

HTTP协议与状态保持：Http是一个无状态协议

1. 实现状态保持的方案：

1)修改Http协议，使得它支持状态保持(难做到)

2)Cookies：通过客户端来保持状态信息

Cookie是服务器发给客户端的特殊信息

cookie是以文本的方式保存在客户端，每次请求时都带上它

3)Session：通过服务器端来保持状态信息

Session是服务器和客户端之间的一系列的交互动作

服务器为每个客户端开辟内存空间，从而保持状态信息

由于需要客户端也要持有一个标识(id)，因此，也要求服务器端和客户端传输该标识，

标识(id)可以借助Cookie机制或者其他的途径来保存

2. COOKIE机制

1)Cookie的基本特点

Cookie保存在客户端

只能保存字符串对象，不能保存对象类型

需要客户端浏览器的支持：客户端可以不支持，浏览器用户可能会禁用Cookie

2)采用Cookie需要解决的问题

Cookie的创建

通常是在服务器端创建的(当然也可以通过javascript来创建)

服务器通过在http的响应头加上特殊的指示，那么浏览器在读取这个指示后就会生成相应的cookie了

Cookie存放的内容

业务信息("key","value")

过期时间

域和路径

浏览器是如何通过Cookie和服务器通信？

通过请求与响应，cookie在服务器和客户端之间传递

每次请求和响应都把cookie信息加载到响应头中；依靠cookie的key传递。

3. COOKIE编程

1)Cookie类

Servlet API封装了一个类：javax.servlet.http.Cookie，封装了对Cookie的操作，包括：

public Cookie(String name, String value) //构造方法，用来创建一个Cookie

HttpServletRequest.getCookies() //从Http请求中可以获取Cookies

HttpServletResponse.addCookie(Cookie) //往Http响应添加Cookie

public int getMaxAge() //获取Cookie的过期时间值

public void setMaxAge(int expiry) //设置Cookie的过期时间值

2)Cookie的创建

Cookie是一个名值对(key=value)，而且不管是key还是value都是字符串

如： Cookie visit = new Cookie("visit", "1");

3)Cookie的类型——过期时间

会话Cookie

Cookie.setMaxAge(-1);//负整数

保存在浏览器的内存中，也就是说关闭了浏览器，cookie就会丢失

普通cookie

Cookie.setMaxAge(60);//正整数，单位是秒

表示浏览器在1分钟内不继续访问服务器，Cookie就会被过时失效并销毁(通常保存在文件中)

注意：

cookie.setMaxAge(0);//等价于不支持Cookie；

4. SESSION机制

每次客户端发送请求，服务断都检查是否含有sessionId。

如果有，则根据sessionId检索出session并处理；如果没有，则创建一个session，并绑定一个不重复的sessionId。

1)基本特点

状态信息保存在服务器端。这意味着安全性更高

通过类似与Hashtable的数据结构来保存

能支持任何类型的对象(session中可含有多个对象)

2)保存会话id的技术(1)

Cookie

这是默认的方式，在客户端与服务器端传递JSeesionId

缺点：客户端可能禁用Cookie

表单隐藏字段

在被传递回客户端之前，在 form 里面加入一个hidden域，设置JSeesionId：

<input type=hidden name=jsessionid value="3948E432F90932A549D34532EE2394" />

URL重写

直接在URL后附加上session id的信息

HttpServletResponse对象中，提供了如下的方法：

encodeURL(url); //url为相对路径

5. SESSION编程

1)HttpSession接口

Servlet API定义了接口：javax.servlet.http.HttpSession， Servlet容器必须实现它，用以跟踪状态。

当浏览器与Servlet容器建立一个http会话时，容器就会通过此接口自动产生一个HttpSession对象

2)获取Session

HttpServletRequest对象获取session，返回HttpSession：

request.getSession(); //表示如果session对象不存在，就创建一个新的会话

request.getSession(true); //等价于上面这句；如果session对象不存在，就创建一个新的会话

request.getSession(false); //表示如果session对象不存在就返回 null，不会创建新的会话对象

3)Session存取信息

session.setAttribute(String name,Object o) //往session中保存信息

Object session.getAttribute(String name) //从session对象中根据名字获取信息

4)设置Session的有效时间

public void setMaxInactiveInterval(int interval)

设置最大非活动时间间隔，单位秒；

如果参数interval是负值，表示永不过时。零则是不支持session。

通过配置web.xml来设置会话超时，单位是分钟

<seesion-config>

<session-timeout>1</session-timeout>

</session-config>

允许两种方式并存，但前者优先级更高

5)其他常用的API

HttpSession.invalidate() //手工销毁Session

boolean HttpSession.isNew() //判断Session是否新建

如果是true，表示服务器已经创建了该session，但客户端还没有加入(还没有建立会话的握手)

HttpSession.getId() //获取session的id

6). 两种状态跟踪机制的比较

Cookie Session

保持在客户端 保存在服务器端

只能保持字符串对象 支持各种类型对象

通过过期时间值区分Cookie的类型 需要sessionid来维护与客户端的通信

会话Cookie——负数 Cookie(默认)

普通Cookie——正数 表单隐藏字段

不支持Cookie——0 url重写

 

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案

一、跨域认证的问题

互联网服务离不开用户认证。一般流程是下面这样。

1、用户向服务器发送用户名和密码。

2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id，写入用户的 Cookie。

4、用户随后的每一次请求，都会通过 Cookie，将 session_id 传回服务器。

5、服务器收到 session_id，找到前期保存的数据，由此得知用户的身份。

这种模式的问题在于，扩展性（scaling）不好。单机当然没有问题，如果是服务器集群，或者是跨域的服务导向架构，就要求 session 数据共享，每台服务器都能够读取 session。

举例来说，A 网站和 B 网站是同一家公司的关联服务。现在要求，用户只要在其中一个网站登录，再访问另一个网站就会自动登录，请问怎么实现？

一种解决方案是 session 数据持久化，写入数据库或别的持久层。各种服务收到请求后，都向持久层请求数据。这种方案的优点是架构清晰，缺点是工程量比较大。另外，持久层万一挂了，就会单点失败。

另一种方案是服务器索性不保存 session 数据了，所有数据都保存在客户端，每次请求都发回服务器。JWT 就是这种方案的一个代表。

二、JWT 的原理

JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{
  "姓名": "张三",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。

服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。

三、JWT 的数据结构

实际的 JWT 大概就像下面这样。

它是一个很长的字符串，中间用点（.）分隔成三个部分。注意，JWT 内部是没有换行的，这里只是为了便于展示，将它写成了几行。

JWT 的三个部分依次如下。

• Header（头部）
• Payload（负载）
• Signature（签名）

写成一行，就是下面的样子。

Header.Payload.Signature

下面依次介绍这三个部分。

3.1 Header

Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。

最后，将上面的 JSON 对象使用 Base64URL 算法（详见后文）转成字符串。

3.2 Payload

Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用。

• iss (issuer)：签发人
• exp (expiration time)：过期时间
• sub (subject)：主题
• aud (audience)：受众
• nbf (Not Before)：生效时间
• iat (Issued At)：签发时间
• jti (JWT ID)：编号

除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

3.3 Signature

Signature 部分是对前两部分的签名，防止数据篡改。

首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就可以返回给用户。

3.4 Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似，但有一些小的不同。

JWT 作为一个令牌（token），有些场合可能会放到 URL（比如 api.example.com/?token=xxx）。Base64 有三个字符+、/和=，在 URL 里面有特殊含义，所以要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

四、JWT 的使用方式

客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

此后，客户端每次与服务器通信，都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是，跨域的时候，JWT 就放在 POST 请求的数据体里面。

五、JWT 的几个特点

（1）JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。

（2）JWT 不加密的情况下，不能将秘密数据写入 JWT。

（3）JWT 不仅可以用于认证，也可以用于交换信息。有效使用 JWT，可以降低服务器查询数据库的次数。

（4）JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

（5）JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。

（6）为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。

六、参考链接

• Introduction to JSON Web Tokens， by Auth0
• Sessionless Authentication using JWTs (with Node + Express + Passport JS), by Bryan Manuele
• Learn how to use JSON Web Tokens, by dwyl