http協議本身是無狀態的,所以需要乙個標誌來對使用者身份進行驗證
1、cookie
使用者登入成功後,會在伺服器存乙個session,同時傳送給客戶端乙個 cookie
資料需要客戶端和伺服器同時儲存
使用者進行操作時,需要帶上 cookie ,在伺服器進行驗證
cookie是有狀態的
2、token
使用者進行任何操作時,都需要帶上乙個 token
token 的存在形式有很多種,header/requestbody/url都可以
這個token只需要存在客戶端,伺服器在收到資料後,進行解析
token是無狀態的
對比:token 比 cookie 先進,更能適用於跨平台,移動平台等;
cookie和token的區別
前言 cookie和token都是我們經常用到的,昨天我問我乙個同事,他竟然不知道有啥區別,今天就來做個總結吧!token和cookie一樣都是首次登陸時,由伺服器下發,都是當互動時進行驗證的功能,作用都是為無狀態的http提供的持久機制。token存在哪兒都行,localstorage或者cook...
cookie和session和token是什麼?
什麼是session?什麼是cookie?什麼是token?1 cookie?由於http是一種無狀態協議,伺服器沒有辦法單單從網路連線上面知道訪問者的身份,為了解決這個問題,就誕生了cookie cookie實際上是一小段的4k文字資訊。客戶端請求伺服器,如果伺服器需要記錄該使用者狀態,就使用re...
安全的cookie和token機制
單獨使用cookie或者token都是不夠安全的。單獨使用token做驗證 不夠安全,只要xss就會被竊取token,黑客可以隨意執行任何操作。單獨使用cookie做驗證 會遭遇csrf攻擊 正確的策略 使用cookie,並配置httponly,可以防止被js讀取cookie。設定csrftoken...