九、会话控制——cookie、session、token

文章目录

  • 前言
  • 一、cookie
    • 1.1 cookie 是什么
    • 1.2 cookie 的特点
    • 1.3 cookie 的运行流程
    • 1.4 express 框架中设置cookie
    • 1.5 express 框架中删除cookie
    • 1.6 express 框架中获取cookie
  • 二、session
    • 2.1 session 是什么
    • 2.2 session 的作用
    • 2.3 session 的运行流程
    • 2.4 session 和 cookie 的区别
  • 三、token
    • 3.1 token 是什么
    • 3.2 token 的作用
    • 3.3 token 的工作流程
    • 3.4 token 的特点
    • 3.5 JWT


前言

HTTP是一种无状态协议,它没有办法区分多次的请求是否来自于同一个客户端,无法区分用户。而产品中又大量存在这样的需求,所以我们需要通过会话控制来解决问题。
常见的会话控制有三种:
(1)cookie
(2)session
(3)token


一、cookie

1.1 cookie 是什么

cookie 是HTTP服务器发送到用户浏览器并保存在本地的一小块数据。
cookie 是保存在浏览器端的一小块数据
cookie 是按照域名划分保存的

1.2 cookie 的特点

浏览器向服务器发送请求时,会自动将当前域名下可用的cookie设置在请求头中,然后传递给服务器。这个请求头的名字也叫‘cookie’,所以将cookie理解为一个HTTP请求头也是可以的。

1.3 cookie 的运行流程

填写账号和密码校验身份,校验通过后下发cookie
在这里插入图片描述
有了cookie之后,后续向服务器发送请求时,会自动携带cookie
在这里插入图片描述

1.4 express 框架中设置cookie

// 导入express
const express=require('express');// 创建应用对象
const app =express();// 创建路由规则
app.get('/set-cookie',(req,res)=>{// res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄res.send('home');
});// 启动服务
app.listen(3000);

1.5 express 框架中删除cookie

// 导入express
const express=require('express');// 创建应用对象
const app =express();// 创建路由规则
app.get('/set-cookie',(req,res)=>{// res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄res.cookie('theme','blue');res.send('home');
});// 删除cookie
app.get('/remove-cookie',(req,res)=>{// 调用方法res.clearCookie('name');res.send('删除成功');
})// 启动服务
app.listen(3000);

1.6 express 框架中获取cookie

使用cookie-parser

// 导入express
const express=require('express');
// 导入包
const cookieParser=require('cookie-parser')// 创建应用对象
const app =express();
app.use(cookieParser());// 创建路由规则
app.get('/set-cookie',(req,res)=>{// res.cookie('name','zhangsan'); // 会在浏览器关闭的时候销毁res.cookie('name','list',{maxAge:60*1000}) // max 最大 age 年龄res.cookie('theme','blue');res.send('home');
});// 获取cookie
app.get('/get-cookie',(req,res)=>{// 获取cookieconsole.log(req.cookies);res.send('获取cookie');
})// 启动服务
app.listen(3000);

二、session

2.1 session 是什么

session 是保存在服务器端的一块儿数据,保存当前访问用户的相关信息。

2.2 session 的作用

实现会话控制,可以识别用户的身份,快速获取当前用户的相关信息。

2.3 session 的运行流程

浏览器端填写账号和密码传给服务器校验身份,服务器校验通过后创建session信息,然后将session_id的值通过响应头返回给浏览器。浏览器有了cookie,下次发送请求时会自动携带cookie,服务器通过cookie中的session_id的值确定用户的身份。

2.4 session 和 cookie 的区别

(1)存在的位置
· cookie:浏览器端
· session:服务端

(2)安全性
· cookie是以明文的方式存放在客户端的,安全性相对较低
· session存放于服务器中,所以安全性相对较好

(3)网络传输质量
· cookie设置内容过多会增大报文体积,会影响传输效率
· session数据存储在服务器,只是通过cookie传递id,所以不影响传输效率

(4)存储限制
· 浏览器限制单个cookie保存的数据不能超过4k,且单个域名下的存储数量也有限制
· session 数据存储在服务器中,所以没有这些限制

三、token

3.1 token 是什么

token是服务端生成并返回给HTTP客户端的一串加密字符串,token中保存着用户信息

3.2 token 的作用

实现会话控制,可以识别用户的身份,主要用于移动端APP

3.3 token 的工作流程

填写账号和密码校验身份,校验通过后响应token,token一般是在响应体中返回给客户端的
在这里插入图片描述
后续发送请求时,需要手动将token添加在请求报文中,一般是放在请求头中,cookie为自动携带
在这里插入图片描述

3.4 token 的特点

(1)服务器端压力更小
--------数据存储在客户端

(2)相对更安全
--------数据加密
--------可以避免CSRF(跨站请求伪造)

(3)扩展性更强
--------服务间可以共享
--------增加服务节点更简单

3.5 JWT

JWT(JSON Web Token)是目前最流行的跨域认证解决方案,可用于基于token的身份验证
JWT使token的生成与校验更规范
我们可以使用JWT包来操作token,使用前先安装包:npm i jsonwebtoken

// 导入 jwt
const jwt=require('jsonwebtoken')// 1. 创建(生成)token
// let token = jwt.sign(用户数据,加密字符串,配置对象);
let token=jwt.sign({username:'zhangsan'
},'aaaaaa',{expiresIn:60, // 单位是秒
})
console.log(token)let t='eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwiaWF0IjoxNjg2Nzk1ODA5LCJleHAiOjE2ODY3OTU4Njl9.KRZxCJFb9ry5vVL2w-n6tvqaG8JQrPqp8Ej0BwT6myM'// 校验 token
jwt.verify(t,'aaaaaa',(err,data)=>{if(err){console.log('校验失败');return}console.log(data);
})

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/4420.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux进程信号【信号产生】

✨个人主页: 北 海 🎉所属专栏: Linux学习之旅 🎃操作环境: CentOS 7.6 阿里云远程服务器 文章目录 🌇前言🏙️正文1、进程信号基本概念1.1、什么是信号?1.2、信号的作用1.3、信号的…

Spring Boot 中的 @Cacheable 注解

Spring Boot 中的 Cacheable 注解 在 Spring Boot 中,缓存是一个非常重要的话题。当我们需要频繁读取一些数据时,为了提高性能,可以将这些数据缓存起来,避免每次都从数据库中读取。为了实现缓存,Spring Boot 提供了一…

线性代数高级--二次型--特征值与特征向量--特征值分解--多元函数的泰勒展开

目录 二次型 概念 示例 性质和特点 特征值与特征向量 概念 示例 注意 性质和特点 特征值分解 注意 多元函数的泰勒展开 回顾一元函数泰勒展开 多元函数的泰勒展开 二次型 概念 二次型是一个关于向量的二次多项式,通常用矩阵表示。 考虑一个n维向量…

有哪些免费好用的Python IDE(集成开发环境)?

工欲善其事,必先利其器。Python的学习过程少不了集成开发编辑环境(IDE)。这些Python IDE会提供插件、工具等帮助开发者加快使用Python开发的速度,提高效率。这里收集了一些对开发者非常有帮助的Python IDE(来自hittp://doc.okbase.net/havoc/archive/242…

Gitlab 双重认证和访问令牌的使用

目录 引言 1、双重认证让项目只能使用访问令牌克隆 2、创建项目访问令牌 3、创建群组访问令牌 引言 双重认证可以提高用户账户的安全性,防止密码泄露,他人随意登录。 访问令牌就相当于项目或群组的访问密码,有了它就可以克隆项目。同时访…

「STC8A8K64D4开发板」第2-6讲:串口通信

第2-6讲:串口通信 学习目的掌握USB转串口电路的原理和设计。学习STC8A8K64D4的串口通信,包括串口初始化、波特率计算、串口发送和接收。编写串口收发程序,尤其是串口接收的软件缓存处理。编写串口发送命令控制LED指示灯亮灭的程序。 硬件电路…

pikache靶场通关——SSRF攻击

文章目录 前言环境第一关、SSRF(curl)Step.1、http协议链接本地文件Step.2、file协议读取C盘下的配置文件Step.3、dict协议扫描内网其他主机的端口开放情况Step.4、使用burp扫描内网其他主机的端口开放情况Step.5、后端源码分析 第二关、SSRF(file_get_c…

SpringBoot小结

目录 基本介绍 SpringBoot快速入门 开发步骤 1.创建新模块 2 .创建 Controller 3 启动服务器 可能会出现的问题:端口被占用 解决方法: 1. 暴力:找到占用的端口号,并且找到对应的进程,杀死该进程,释放…

计算机网络-数据链路层上篇

目录 一、数据链路层概述 二、封装成帧 三、差错检测 (一)奇偶校验 (二)循环冗余校验CRC 四、可靠传输 (一)停止-等待协议SW (二)后退N帧协议GBN (三&#xff…

AutoSAR系列讲解(入门篇)4.6-BSW的Watchdog功能

一、架构与术语解释 前面都挺难的吧?实践出真知,后面实践篇的时候,大家应该就能明白了。这一节就来讲个简单的功能------看门狗。看门狗想必大家应该都再熟悉不过了吧,主要就下面三层结构,简单明了,这节确实…

mac 文件批量重命名001开始

mac 文件批量重命名001开始,怎么操作?我们平时在整理办公文件的时候,经常需要对文件的名称进行修改,将文件修改为数字形式的名称,例如001、002、003、004......这样的形式,尤其是某项工作涉及非常多文件的时…

进程的基本概念解读

目录 什么是进程 PCB OS中用于管理控制的数据结构 进程控制块PCB的作用 进程控制块中的信息 前趋图 背景 作用 表示 示例 程序的顺序执行 程序顺序执行的特征 程序的并发执行 程序的并发执行的特征 例题解读 进程的三种基本状态 进程的三种状态之间的转换 进…