咱上網(wǎng)沖浪的時候,天天和各種網(wǎng)站���、APP打交道�。但HTTP協(xié)議有個“毛病”——它記性不好����,每次請求都像第一次見面,根本不記得之前和你聊過啥���。為了解決這個問題��,程序員們整出了Cookie���、Session和Token這三個“神器”,它們就像我們在網(wǎng)絡世界的身份證��、通行證���,幫服務器記住你是誰,都干了啥�。今天咱就嘮嘮這仨到底是干啥的����,有啥不一樣!
一���、Cookie�、Session和Token都干啥用����?
1.1 Cookie:瀏覽器幫你記事兒的小本本
Cookie就是服務器給瀏覽器塞的小紙條����,存的都是些用戶信息,像登錄狀態(tài)�、瀏覽偏好啥的。舉個例子�,你第一次進某個網(wǎng)站���,選了中文界面�����、深色模式��,下次再訪問��,網(wǎng)站秒變你喜歡的樣子��,這背后就是Cookie在偷偷“記筆記”��。不過這小紙條存你電腦里�����,容易被人偷看����,所以得小心點用���!
1.2 Session:服務器的專屬“私人檔案庫”
Session相當于是服務器自己的“小賬本”,專門用來存用戶的會話數(shù)據(jù)��。當你登錄網(wǎng)站�,服務器就給你開個“檔案袋”,把你購物車有啥�、訂單到哪一步了這些信息全塞進去。但它咋知道這份檔案歸誰呢�?靠的就是Cookie里的Session ID�,相當于檔案編號����,瀏覽器每次帶著編號來���,服務器一看就知道:“哦����!原來是你���!”
1.3 Token:萬能通行令牌
Token就是服務器發(fā)的一串亂碼“令牌”����,你拿著它去訪問網(wǎng)站的各種服務,就像拿著身份證證明“我是我”����。Token最大的好處是不用服務器記太多東西���,你每次來���,它只需要驗證令牌是真是假就行?�,F(xiàn)在流行的前后端分離��、第三方登錄,基本都靠Token“打天下”���,移動端APP更是離了它不行�。
二��、Cookie����、Session和Token����,到底咋區(qū)分?
2.1 都藏在哪���?能存多少東西��?
Cookie就住你電腦里�����,瀏覽器幫你保管����。不過它個頭很小氣,一般不能超過4KB���,而且一個網(wǎng)站最多也就存50個左右����。
Session住在服務器那邊,理論上想存多少存多少,但服務器空間有限����,存太多也頂不住。
Token呢�,既可以放在客戶端(比如APP里),也能在每次請求的時候跟著一起“跑”��,大小沒嚴格限制��,通常幾百字節(jié)��。
2.2 安不安全?容易被偷嗎����?
Cookie因為在客戶端,就像放在桌子上的紙條�����,很容易被人篡改�。不過可以給它加把鎖:
Session數(shù)據(jù)在服務器,相對安全些���,但要是Session ID被壞人搞到手�����,也能冒充你�����。
Token用簽名加密�����,一般改不了����,但一旦被偷�����,壞人也能用,所以得設個有效期���,到期就作廢���。
2.3 怎么在網(wǎng)絡里“傳送”?
Cookie最“自覺”,瀏覽器每次發(fā)請求����,都會自動把相關的Cookie帶上,除非你特意限制它�����。
Session得靠Cookie幫忙傳遞Session ID�����,雖然也能藏在URL里����,但容易暴露����,不太安全�����。
Token就比較“自由”�,常見的是放在請求頭的Authorization字段里,也能塞到請求體或URL里�����,全看開發(fā)者咋安排�����。
2.4 能用多久?啥時候過期?
Cookie想“活”多久����,由服務器說了算。設置了expires或max-age�����,它就是“長壽型”�����,到期才失效����;不設置的話,瀏覽器一關�,它就“涼涼”��。
Session和Cookie里的Session ID綁在一起���,服務器還會設個“閑置超時”�����,比如30分鐘沒操作�����,直接清空檔案。
Token出生的時候就被定好了“保質(zhì)期”(像JWT的exp字段)����,過期就得重新申請新令牌。
2.5 能不能適應復雜的網(wǎng)絡環(huán)境���?
要是網(wǎng)站用的是分布式系統(tǒng)(多個服務器協(xié)同工作)���,Cookie + Session組合就有點“吃力”�����。因為Session存在服務器里�����,多個服務器之間得同步數(shù)據(jù)���,不然容易“認不出”用戶。
Token就沒這煩惱����,它不需要服務器存啥�����,驗證一下令牌是真是假就行����,特別適合微服務�����、跨域這種復雜場景��。
三����、生活里都在哪見過它們�����?
3.1 Cookie的“日常工作”
3.2 Session的“用武之地”
電商平臺的購物車、訂單狀態(tài)��,后臺管理系統(tǒng)的用戶權限����,在線聊天的實時狀態(tài)……這些對安全性、實時性要求高的場景�����,都是Session的主場��。服務器隨時能查看�、修改你的會話數(shù)據(jù),還能強制你下線��,安全感拉滿����!
3.3 Token的“高光時刻”
現(xiàn)在很多網(wǎng)站支持微信���、GitHub一鍵登錄�����,靠的就是Token在不同平臺間“傳話”���。
前后端分離項目里,前端和后端不在一個域名下����,Token能輕松實現(xiàn)跨域認證。
還有手機APP����,沒Cookie可用��,Token就是它唯一的“身份認證官”�����。
四��、到底該選誰����?
簡單來說:
實際開發(fā)中����,大家經(jīng)常把它們搭配著用,比如用Cookie傳Session ID��,或者把Token藏在Cookie里,增強安全性�����。具體咋選���,還得根據(jù)業(yè)務需求���,綜合考慮安全�、性能這些因素,找到最適合的方案��!
本文原創(chuàng)首發(fā)于公眾號【我做開發(fā)那些年】與網(wǎng)站【喬文小屋】�����,現(xiàn)同步轉(zhuǎn)載至本平臺��,點擊閱讀原文
聲明:如需轉(zhuǎn)載本文至其他平臺�,請注明文章來源及公眾號信息,感謝您對原創(chuàng)內(nèi)容的尊重與支持�!
該文章在 2025/7/2 8:16:38 編輯過
400 186 1886
