其他
一文彻底搞懂Cookie、Session、Token到底是什么
作者:不学无数的程序员
Cookie
夏洛:大爷,楼上322住的是马冬梅家吧?
大爷:马都什么?
夏洛:马冬梅。
大爷:什么都没啊?
夏洛:马冬梅啊。
大爷:马什么没?
夏洛:行,大爷你先凉快着吧。
Cookie
是谁产生的呢?Cookies是由服务器产生的。接下来我们描述一下Cookie
产生的过程。浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为 key=value
,放入到Set-Cookie
字段里,随着响应报文发给浏览器。浏览器看到有 Set-Cookie
字段以后就知道这是服务器给的身份标识,于是就保存起来,下次请求时会自动将此key=value
值放入到Cookie
字段中发给服务端。服务端收到请求报文后,发现 Cookie
字段中有值,就能根据此值识别用户的身份然后提供个性化的服务。
@RequestMapping("/testCookies")
public String cookies(HttpServletResponse response){
response.addCookie(new Cookie("testUser","xxxx"));
return "cookies";
}
http://localhost:8005/testCookies
,然后查看发的请求。可以看到下面那张图使我们首次访问服务器时发送的请求,可以看到服务器返回的响应中有Set-Cookie
字段。而里面的key=value
值正是我们服务器中设置的值。Cookie
字段,并且将我们的值也带过去了。这样服务器就能够根据Cookie
中的值记住我们的信息了。Cookie
也会带过去呢?接下来我们输入路径http://localhost:8005
请求。我们可以看到Cookie
字段还是被带过去了。Cookie
是存放在哪呢?如果是使用的是Chrome
浏览器的话,那么可以按照下面步骤。在计算机打开 Chrome
在右上角,一次点击 更多
图标->设置
在底部,点击 高级
在 隐私设置和安全性
下方,点击网站设置依次点击 Cookie
->查看所有Cookie和网站数据
Cookie
数据。所以是浏览器替你管理了Cookie
的数据,如果此时你换成了Firefox
等其他的浏览器,因为Cookie
刚才是存储在Chrome
里面的,所以服务器又蒙圈了,不知道你是谁,就会给Firefox
再次贴上小纸条。Cookie中的参数设置
Cookie
就是服务器委托浏览器存储在客户端里的一些数据,而这些数据通常都会记录用户的关键识别信息。Cookie
需要用一些其他的手段用来保护,防止外泄或者窃取,这些手段就是Cookie
的属性。参数名 | 作用 | 后端设置方法 |
cookie.setMaxAge(10) | ||
cookie.setDomain("") | ||
cookie.setPath(""); | ||
cookie.setHttpOnly(true) | ||
cookie.setSecure(true) |
Path
cookie.setPath("/testCookies")
,接下来我们访问http://localhost:8005/testCookies
,我们可以看到在左边和我们指定的路径是一样的,所以Cookie
才在请求头中出现,接下来我们访问http://localhost:8005
,我们发现没有Cookie
字段了,这就是Path
控制的路径。Domain
cookie.setDomain("localhost")
,接下来我们访问http://localhost:8005/testCookies
我们发现下图中左边的是有Cookie
的字段的,但是我们访问http://172.16.42.81:8005/testCookies
,看下图的右边可以看到没有Cookie
的字段了。这就是Domain
控制的域名发送Cookie
。Cookie
有一些了解了。Session
SessionId
Cookie
,既然浏览器已经通过Cookie
实现了有状态这一需求,那么为什么又来了一个Session
呢?这里我们想象一下,如果将账户的一些信息都存入Cookie
中的话,一旦信息被拦截,那么我们所有的账户信息都会丢失掉。所以就出现了Session
,在一次会话中将重要信息保存在Session
中,浏览器只记录SessionId
一个SessionId
对应一次会话请求。@RequestMapping("/testSession")
@ResponseBody
public String testSession(HttpSession session){
session.setAttribute("testSession","this is my session");
return "testSession";
}
@RequestMapping("/testGetSession")
@ResponseBody
public String testGetSession(HttpSession session){
Object testSession = session.getAttribute("testSession");
return String.valueOf(testSession);
}
Session
是如何产生的,我们在请求参数中加上HttpSession session
,然后再浏览器中输入http://localhost:8005/testSession
进行访问可以看到在服务器的返回头中在Cookie
中生成了一个SessionId
。然后浏览器记住此SessionId
下次访问时可以带着此Id,然后就能根据此Id找到存储在服务端的信息了。http://localhost:8005/testGetSession
,发现得到了我们上面存储在Session
中的信息。那么Session
什么时候过期呢?客户端:和 Cookie
过期一致,如果没设置,默认是关了浏览器就没了,即再打开浏览器的时候初次请求头中是没有SessionId
了。服务端:服务端的过期是真的过期,即服务器端的 Session
存储的数据结构多久不可用了,默认是30分钟。
Session
是在服务端进行管理的,那么或许你们看到这有几个疑问,Session
是在在哪创建的?Session
是存储在什么数据结构中?接下来带领大家一起看一下Session
是如何被管理的。Session
的管理是在容器中被管理的,什么是容器呢?Tomcat
、Jetty
等都是容器。接下来我们拿最常用的Tomcat
为例来看下Tomcat
是如何管理Session
的。在ManageBase
的createSession
是用来创建Session
的。@Override
public Session createSession(String sessionId) {
//首先判断Session数量是不是到了最大值,最大Session数可以通过参数设置
if ((maxActiveSessions >= 0) &&
(getActiveSessions() >= maxActiveSessions)) {
rejectedSessions++;
throw new TooManyActiveSessionsException(
sm.getString("managerBase.createSession.ise"),
maxActiveSessions);
}
// 重用或者创建一个新的Session对象,请注意在Tomcat中就是StandardSession
// 它是HttpSession的具体实现类,而HttpSession是Servlet规范中定义的接口
Session session = createEmptySession();
// 初始化新Session的值
session.setNew(true);
session.setValid(true);
session.setCreationTime(System.currentTimeMillis());
// 设置Session过期时间是30分钟
session.setMaxInactiveInterval(getContext().getSessionTimeout() * 60);
String id = sessionId;
if (id == null) {
id = generateSessionId();
}
session.setId(id);// 这里会将Session添加到ConcurrentHashMap中
sessionCounter++;
//将创建时间添加到LinkedList中,并且把最先添加的时间移除
//主要还是方便清理过期Session
SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
synchronized (sessionCreationTiming) {
sessionCreationTiming.add(timing);
sessionCreationTiming.poll();
}
return session
}
Session
是如何创建出来的,创建出来后Session
会被保存到一个ConcurrentHashMap
中。可以看StandardSession
类。protected Map<string, session> www.jintianxuesha.com sessions = new ConcurrentHashMap<>();
Session
有简单的了解了。Token
Session
是将要验证的信息存储在服务端,并以SessionId
和数据进行对应,SessionId
由客户端存储,在请求时将SessionId
也带过去,因此实现了状态的对应。而Token
是在服务端将用户信息经过Base64Url编码过后传给在客户端,每次用户请求的时候都会带上这一段信息,因此服务端拿到此信息进行解密后就知道此用户是谁了,这个方法叫做JWT(Json Web Token)。Token
相比较于Session
的优点在于,当后端系统有多台时,由于是客户端访问时直接带着数据,因此无需做共享数据的操作。Token的优点
简洁:可以通过 URL
,POST
参数或者是在HTTP
头参数发送,因为数据量小,传输速度也很快自包含:由于串包含了用户所需要的信息,避免了多次查询数据库 因为Token是以Json的形式保存在客户端的,所以JWT是跨语言的 不需要在服务端保存会话信息,特别适用于分布式微服务
JWT的结构
.
分割成三部分Header
{
"alg": "HS256",
"typ": "JWT"
}
Payload
iss (issuer):签发人 exp (expiration time):过期时间 sub (subject):主题 aud (audience):受众 nbf (Not Before):生效时间 iat (Issued At):签发时间 jti (JWT ID):编号
{
"name": "xiaoMing",
"age": 14
}
Base64URL
算法转成字符串Signature
.
分割开来,就可以返给用户了。Java中如何使用Token
compile('io.jsonwebtoken:jjwt:0.9.0')
// 签名算法 ,将对token进行签名
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 通过秘钥签名JWT
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("SECRET");
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
Map<String,Object> claimsMap = new HashMap<>();
claimsMap.put("name","xiaoMing");
claimsMap.put("age",14);
JwtBuilder builderWithSercet = Jwts.builder()
.setSubject("subject")
.setIssuer("issuer")
.addClaims(claimsMap)
.signWith(signatureAlgorithm, signingKey);
System.out.printf(builderWithSercet.compact());
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJzdWJqZWN0IiwiaXNzIjoiaXNzdWVyIiwibmFtZSI6InhpYW9NaW5nIiwiYWdlIjoxNH0.3KOWQ-oYvBSzslW5vgB1D-JpCwS-HkWGyWdXCP5l3Ko
总结
Cookie
、Session
、Token
有一定的了解了,接下来再回顾一下重要的知识点。Cookie是存储在客户端的 Session是存储在服务端的,可以理解为一个状态列表。拥有一个唯一会话标识 SessionId
。可以根据SessionId
在服务端查询到存储的信息。Session会引发一个问题,即后端多台机器时Session共享的问题,解决方案可以使用Spring提供的框架。 Token类似一个令牌,无状态的,服务端所需的信息被Base64编码后放到Token中,服务器可以直接解码出其中的数据。
GitHub代码地址
参考文章
Cookies vs. Tokens: The Definitive Guide 彻底弄懂session,cookie,token 透视HTTP协议 Manager组件:Tomcat的Session管理机制解析 JSON Web Token 入门教程 SpringBoot集成JWT实现token验证 JSON Web Token - 在Web应用间安全地传递信息</string,object></string,> 有道无术,术可成;有术无道,止于术
欢迎大家关注Java之道公众号
好文章,我在看❤️