手打不易,如果转摘,请注明出处!
注明原文:https://zhangxiaofan.blog.csdn.net/article/details/133498756
例如某次访问CSDN中的cookie
{
Cookie:
JSESSIONID=5124fa26-9334-4c7d-9123-6141b14b9c92;
uuid_tt_dd=10_20850520640-1656988062941-486962;
UserName=qXXXX4;
UserInfo=8d100c5XXX4dd7a3fbc5e97;
UserToken=8d100c5XXX0f4dd7a3fbc5e97;
UserNick=Mr.XXX.;
...
}
一般session存哪些信息?
例如 org.apache.shiro.session.mgt.SimpleSession
就存储了以下信息:
private transient Serializable id;
private transient Date startTimestamp;
private transient Date stopTimestamp;
private transient Date lastAccessTime;
private transient long timeout;
private transient boolean expired;
private transient String host;
private transient Map<Object, Object> attributes;
包括:id、时间戳、过期时间、host、各种属性 attributes Map等等。
网上一大把的文章都在对比 cookie 和 session。
严格来说, cookie 是一种存储方式, session 是会话记录。它们不应该看成一个维度的概念。
相同点就是它们都可以用来存储用户信息。
cookie 安全性、存储量有一定限制,但不会占用服务端资源。
session 安全性高、存储信息大,认证会话信息一般都存放在 session。
cookies 只是一种可以用来实现 session 的方式,但并不是唯一,理论上只要 sessionId 可以通过其他安全方式传输到服务端就行。
我也是比较 反对直接拿 cookie 和 session 做对比的 。
因此笔者认为,如果非要加一层关系,那么可以看成 协作互补。
说到 token ,这里必须说一下 token 可以简单看成 2 大类型:
一种是本身不携带信息的token(传统token);
一种是本身就携带用户或认证信息的 token(例如JWT);
sessionId 就可以看成一个传统的 token。
token 就是一个令牌,前端请求发送到服务端,验证成功后,后端会生成一个 token 给前端,前端下次请求(有效期内)只需要带着这个 token 就可以访问后端API。
对于传统的 Token 来讲,服务端拿到 token 后需要去查数据库(Mysql、Redis等)校验是否过期或者是否有效
对于JWT这种类型的 Token 来讲,服务端本身是不存储信息的,直接通过解密和验证JWT即可。
很多人直接把这两者进行比较,这样容易受误导。因为 Token 是有不同的实现方式,有的携带认证信息,有的不携带认证信息,那么在比较的时候,就要区分开来。
有状态
, 而 Token 是为了让服务端无状态
.空间换时间
, JWT这类Token 可以看成 时间换空间
,传统的 token 实际上也占用了空间。无状态
。