前言
cookie和token都是我們經常用到的,昨天我問我乙個同事,他竟然不知道有啥區別,今天就來做個總結吧!
token和cookie一樣都是首次登陸時,由伺服器下發,都是當互動時進行驗證的功能,作用都是為無狀態的http提供的持久機制。
token存在哪兒都行,localstorage或者cookie。
token和cookie舉例,token就是說你告訴我你是誰就可以。
cookie 舉例:服務員看你的身份證,給你乙個編號,以後,進行任何操作,都出示編號後服務員去看查你是誰。
token 舉例:直接給服務員看自己身份證。
對於token而言,伺服器不需要去檢視你是誰,不需要儲存你的會話。當使用者logout的時候cookie和伺服器的session都會登出;但是當logout時候token只是登出瀏覽器資訊,不查庫。
歸總一下
token 完全由應用管理,所以它可以避開同源策略。
token 可以避免 csrf 攻擊。
token 可以是無狀態的,可以在多個服務間共享。
cookie 和 token 的理解
http協議本身是無狀態的,所以需要乙個標誌來對使用者身份進行驗證 1 cookie 使用者登入成功後,會在伺服器存乙個session,同時傳送給客戶端乙個 cookie 資料需要客戶端和伺服器同時儲存 使用者進行操作時,需要帶上 cookie 在伺服器進行驗證 cookie是有狀態的 2 toke...
cookie和session和token是什麼?
什麼是session?什麼是cookie?什麼是token?1 cookie?由於http是一種無狀態協議,伺服器沒有辦法單單從網路連線上面知道訪問者的身份,為了解決這個問題,就誕生了cookie cookie實際上是一小段的4k文字資訊。客戶端請求伺服器,如果伺服器需要記錄該使用者狀態,就使用re...
安全的cookie和token機制
單獨使用cookie或者token都是不夠安全的。單獨使用token做驗證 不夠安全,只要xss就會被竊取token,黑客可以隨意執行任何操作。單獨使用cookie做驗證 會遭遇csrf攻擊 正確的策略 使用cookie,並配置httponly,可以防止被js讀取cookie。設定csrftoken...