面试题解-理解cookie、session和token
项目vue+springboot
1、token
用户填写密码账号发送至后端,由后端生成token,返回给前端,前端把它存放起来,如放在cookie或者localStorage里面
前端向服务器发起请求时在请求头携带token,判断用户身份给与反应。
//后端验证token
public class JwtInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//如果不是映射到方法直接通过if (!(handler instanceof HandlerMethod)) {return true;}//从 http 请求头中取出 tokenString token = request.getHeader("Authorization");if (token == null) {throw new RuntimeException("无 token ,请重新登陆");}//验证 tokenJwtUtil.checkSign(token);//验证通过后, 这里测试取出JWT中存放的数据//获取 token 中的 userIdString salt = JwtUtil.getSalt(token);String phone = JwtUtil.getPhone(token);String password = JwtUtil.getPassword(token);System.out.println("我是JWTInter-"+password+"==="+phone);//获取 token 中的其他数据return true;}
}2、cookie
Cookie可以弥补HTTP协议无状态的不足,在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话,比如百度搜索也是设置了cookie
在浏览器地址栏输入javascript:alert (document. cookie)就可以查看某个网站颁发的Cookie,JavaScript脚本会弹出一个对话框显示本网站颁发的所有Cookie的内容
(1)客户端发送登录请求,后端set-cookie返回给客户端,Cookie实际上是一小段的文本信息,客户端收到带有cookie的请求后,那么下次浏览器就会在请求头自动携带cookie
(2)服务端接收客户端之后的请求,验证cookie来判断
session可以cookie一起使用的
token可以和cookie一起使用,存放在cookie中
public String setCookies(HttpServletResponse response){//HttpServerletRequest 装请求信息类//HttpServerletRespionse 装相应信息的类Cookie cookie=new Cookie("sessionId","CookieTestInfo");response.addCookie(cookie);return "添加cookies信息成功";}
3、session
客户端发送登录请求,服务端创建session,并保存起来(可以保存在内存、数据库、NoSQL中),并将session的唯一标识设置在cookie中返回给客户端
//登录时,将userId存入session中session.setAttribute("userId", user.getUserId());
@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//获取到session信息HttpSession session = request.getSession();Integer userId = (Integer) session.getAttribute("userId");if (userId == null) {//登录信息不存在,请重新登录return false;}return true;}
区别
1、cookie、token由服务器生成,保存在客户端,session存储在服务端
2、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie,session存储大小无限制,token体积很小
3、cookie不是很安全, 别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session
4、session会在一定时间内保存在服务器上。当访问增多,就会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie
5、cookie不能跨浏览器,不支持跨域访问,不支持手机端方案。token允许跨域访问
6、生命周期:
cookie默认在会话结束后直接销毁,cookie可以设置过期时间。
session也有过期时间的概念,默认为30分钟,可以通过tomcat、web.xml等方式进行配置。
token无法主动过期,只能等待它达到过期时间后才会失效。