cookie扫茅、session蹋嵌、token區(qū)別
前言
首先http是無狀態(tài)的育瓜,每一次的請求之間是沒有關(guān)聯(lián)的葫隙,如何判定請求是同一個人發(fā)送的
1、數(shù)據(jù)存儲
cookie 的數(shù)據(jù)是服務(wù)器自動存在客戶端的
session的數(shù)據(jù)是放在服務(wù)端躏仇,但是會給客戶端種植一個cookie恋脚,這個cookie 的key是固定的,value是隨機(jī)生成的一個session的id焰手,下次訪問時拿到自動攜帶的cookie里面的session id糟描,去取對應(yīng)的數(shù)據(jù)
token的數(shù)據(jù) 是由客戶端返回的,前端需要手動存儲
2书妻、安全性
cookie 的數(shù)據(jù)是存放在瀏覽器中船响,如果你能夠截獲某個用戶的cookie變量,然后偽造一個數(shù)據(jù)包發(fā)送過去躲履,那么服務(wù)器還是 認(rèn)為你是合法的见间。所以,使用cookie被攻擊的可能性比較大工猜。
session和數(shù)據(jù)是存放在服務(wù)器所以比較安全
token的數(shù)據(jù)是和時間戳米诉、簽名等融合后加密,也是比較安全
3篷帅、跨域
session和cookie需要遵循同源策略史侣,token可以跨域
4拴泌、存儲限制
cookie的限制不能超過4k各個瀏覽器有區(qū)別,session和token的由服務(wù)器內(nèi)存決定
