在这篇文章中我们将深入探讨前端cookie、session、token和jwt等web开发中常见的身份认证和状态管理技术,它们在用户身份验证、数据存储授权和安全性方面发挥着重要作用,接下来开始逐一解释它们的含义、作用和各自的优势及其使用。
目录
初识cookie
cookie使用
初识cookie
cookie是什么:也叫web cookie或浏览器cookie,是服务器发送到用户浏览器并保存在本地的一小块数据,浏览器会存储cookie并在下次向同一服务器再发起请求时携带并发送到服务器上,通常它用于告知服务端两个请求是否来自同一浏览器—如保持用户的登录状态,cookie使基于无状态的http协议记录稳定的状态信息成为了可能。
cookie主要用于以下三个方面:
1)会话状态管理
如用户登录状态、购物车、游戏分数或其他需要记录的信息
2)个性化设置
如用户自定义设置、主题和其他设置
3)浏览器行为追踪
如跟踪分析用户的行为等
比如我们随便拿一个我们以往登录的网站,F12找到应用,然后打开Cookie可以看到如下信息:
以下是cookie中常用的属性解释:
1)name:第一个也就是cookie的名字
2)value:第二个也就是cookie的值
3)Domain:第三个也就是可以知道cookie站点的域名
4)Path:第四个也就是定义了web站点上可以访问该cookie的目录
5)Expires:第五个也就是表示cookie的过期时间,即有效值
6)Size:第六个表示cookie的大小
7)HttpOnly:一种安全性增强的措施,旨在防止客户端的js代码访问该cookie
8)secure:告诉浏览器当前cookie只能用https协议进行传输
9)samesite:用来控制浏览器如何在跨站请求中发送cookies,防止一些常见的安全问题如跨站请求伪造(CSRF)攻击
10)
当浏览器向服务器发送http请求时,服务器可以在响应中通过Set-Cookie头部设置一个或多个cookie,这些cookie会被存储在客户端浏览器中,通常包括以下几个基本信息:
1)名称:cookie的名字(例如 user_id)。 值:cookie的内容或数据(例如 123456)。 2)过期时间:cookie的有效期。可以通过 Expires 或 Max-Age 指定。如果没有设置过期时间,cookie默认会在浏览器会话结束时过期(即浏览器关闭时)。 3)路径:指定cookie适用的路径,只有该路径下的网页才能访问这个cookie。 4)域:指定cookie适用的域,通常是发送cookie的服务器域名。 5)安全标志:如果设置了secure,则cookie只能通过https协议传输。 6)HttpOnly 标志:如果设置了HttpOnly,该cookie只能通过http协议访问,js无法访问增加了防止 XSS 攻击的安全性。
cookie的作用:主要用于在浏览器与服务器之间维持会话状态,通常在用户登录后浏览器会存储cookie以标识用户的身份,每次用户访问网站时浏览器会自动将对应的cookie随http请求一起发送给服务器,服务器校验通过之后就会通过set-cookie的方式发送给浏览器,下次浏览器发起请求的时服务器通过校验cookie即可,如下图所示:
cookie的原理:通过在客户端(即浏览器)存储小型数据,从而实现服务器与客户端之间的状态保持和