接口測試經(jīng)典面試題：Session试吁、cookie棺棵、token有什么區(qū)別？

本文節(jié)選自霍格沃茲測試開發(fā)學社內(nèi)部教材

HTTP是一個沒有狀態(tài)的協(xié)議熄捍，這種特點帶來的好處就是效率較高烛恤，但是缺點也非常明顯，這個協(xié)議本身是不支持網(wǎng)站的關聯(lián)的余耽，比如https://ceshiren.com/和https://ceshiren.com/t/topic/9737/7這兩個網(wǎng)站缚柏，必須要使用別的方法將它們兩個關聯(lián)起來。那就是session 碟贾、cookie 船惨、token。

• session 即會話缕陕，是一種持久網(wǎng)絡協(xié)議粱锐，起到了在用戶端和服務器端創(chuàng)建關聯(lián)，從而交換數(shù)據(jù)包的作用扛邑。

• cookie 是“小型文本文件”怜浅，是某些網(wǎng)站為了辨別用戶身份，進行 session 跟蹤而儲存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密）蔬崩，由用戶客戶端計算機暫時或永久保存的信息恶座。

• token 在計算機身份認證中是令牌（臨時）的意思，在詞法分析中是標記的意思沥阳。一般作為邀請跨琳、登錄系統(tǒng)使用。

與 get桐罕、post 區(qū)別實戰(zhàn)詳解 章節(jié)相同脉让，為了避免其他因素的干擾，使用 Flask 編寫一個簡單的 demo server(Flask 的安裝與啟動參考 get功炮、post 區(qū)別實戰(zhàn)詳解 章節(jié))溅潜，來演示 cookie 與 session。

demo server 演示代碼

from flask import Flask,session,Request, request,make_responseapp = Flask(__name__)request: Requestapp.secret_key = "key"@app.route('/')def hello_world():
    return 'Hello, World!'@app.route("/session")def session_handle():
    #讀取請求
    for k, v in request.args.items():
    #收到請求后寫入session
        session[k] = v
    #創(chuàng)建服務器響應薪伏，將session的內(nèi)容打印出來
    resp = make_response({k: v for k, v in session.items()})
    for k, v in request.args.items():
    #給服務器設置cookie滚澜，并添加cookie字符串進行標識
        resp.set_cookie(f"cookie_{k}", v)
    return resp

首先使用瀏覽器的無痕模式對演示網(wǎng)站發(fā)起訪問，并傳入 a嫁怀、b 兩個參數(shù) 以一次請求為例设捐，查看 cookie 的傳遞過程

第一次請求的請求頭信息如下借浊，可以看到?jīng)]有任何的 cookie 信息：

GET /session?a=1&b=2 HTTP/1.1
Host: 127.0.0.1:5000
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: en

第一次請求的響應頭信息，對客戶端返回了 set-cookie 字段：

HTTP/1.0 200 OK
Content-Type: application/json
Content-Length: 18Set-Cookie: cookie_a=1; Path=/
Set-Cookie: cookie_b=2; Path=/
Vary: Cookie
Set-Cookie: session=eyJhIjoiMSIsImIiOiIyIn0.YKSvNA.2sSLXbraXxQ-MfKOLhoLJPZmV9U; HttpOnly; Path=/
Server: Werkzeug/1.0.1 Python/3.8.7
Date: Wed, 19 May 2021 06:24:52 GMT

第二次請求的請求頭信息萝招，客戶端向服務端請求時請求頭多出了一個 cookie 信息蚂斤，并提交了和第二次 set-cookie 相同的信息：

GET /session?a=1&b=2 HTTP/1.1
Host: 127.0.0.1:5000
...省略...
Cookie: cookie_a=1; cookie_b=2; session=eyJhIjoiMSIsImIiOiIyIn0.YKSvNA.2sSLXbraXxQ-MfKOLhoLJPZmV9U

當用戶訪問帶 cookie 瀏覽器時，這個服務器就為這個用戶產(chǎn)生了唯一的 cookie即寒，并以此作為索引在服務器的后端數(shù)據(jù)庫產(chǎn)生一個項目橡淆，接著就給客戶端的響應報文中添加一個叫做 Set-cookie 的首部行召噩，格式為 k:v母赵。

這樣當該用戶下次再訪問此網(wǎng)站時，就會在對服務器發(fā)起請求的時候添加一個名 Cookie 的首部行具滴。瀏覽器由此就可以得知用戶的身份凹嘲，從而用戶就不需要再次重新輸入一些個人信息。

使用 curl 命令對網(wǎng)站發(fā)起了一個 get 請求构韵，并傳入 a周蹭、b 兩個參數(shù)

curl 'http://127.0.0.1:5000/session?a=1&b=2' -v -s &>session

查看 session 文件內(nèi)的請求以及響應內(nèi)容

*   Trying 127.0.0.1...
* TCP_NODELAY set* Connected to 127.0.0.1 (127.0.0.1) port 5000 (#0)> GET /session?a=1&b=2 HTTP/1.1
> Host: 127.0.0.1:5000
> User-Agent: curl/7.64.1
> Accept: */*
>
* HTTP 1.0, assume close after body
< HTTP/1.0 200 OK
< Content-Type: application/json
< Content-Length: 18< Set-Cookie: cookie_a=1; Path=/
< Set-Cookie: cookie_b=2; Path=/
< Vary: Cookie
< Set-Cookie: session=eyJhIjoiMSIsImIiOiIyIn0.EWX6Qg.M8tEGPyRhlf0iUiLktEqup-4e-U; HttpOnly; Path=/
< Server: Werkzeug/1.0.1 Python/3.7.5
<{ [18 bytes data]* Closing connection 0{"a":"1","b":"2"}

從上面可以發(fā)現(xiàn)，與上一章節(jié)內(nèi)容不同的是響應值多出了 3 個Set-Cookie字段疲恢。下面有一個Set-Cookie顯示為session=eyJhIjoiMSIsImIiOiIyIn0.EWX6Qg.M8tEGPyRhlf0iUiLktEqup-4e-U; HttpOnly; Path=/凶朗，由此可見 session 一般是加密串格式，可以通過 cookie 傳遞显拳。

token 的使用有一個非常經(jīng)典的場景棚愤，就是在 github 中的使用。在 github->settings->Developer settings->Personal access tokens 中杂数，可以生成一個 token 用于訪問 github 的 api宛畦，這個 token 是沒有時效性的，“任何人”可以使用它們代替通過 HTTPS 的 Git 密碼揍移，也可以用來通過基本身份驗證向 API 進行身份驗證次和。

[圖片上傳失敗...(image-f66c0-1658365341157)]

使用 OAuth 令牌對 GitHub API 進行身份驗證（因返回結果個人信息太多所以省略展示）

$ curl -u username:$token https://api.github.com/user

token是無狀態(tài)的，客戶端傳遞用戶數(shù)據(jù)給服務端后那伐，服務端將數(shù)據(jù)加密就生成了token并傳回給客戶端踏施。這樣客戶端每次訪問時都傳遞token，而服務端解密token之后罕邀，即可了解客戶的信息读规。

在 github 中，token 只會生成一次燃少，且不會過期束亏，不過在很多其他的 web 應用網(wǎng)站，token 會存在過期機制阵具。

@startuml
autonumber
title session碍遍、cookie過程
participant 客戶端 as c
participant 服務器 as s

c -> s: 第一次請求
s -> s: 創(chuàng)建SessionID并保存
s -> c: 返回SessionID定铜，并Set-Cookie
c -> c: Cookie保存\n在瀏覽器
c -> s: 第二次請求，請求中攜帶Cookie和SessionId
s -> s: 判斷SessionId\n屬于哪個用戶
s -> c: 響應 

@enduml

@startuml
autonumber
title token身份驗證流程

participant 客戶端 as c
participant 服務器 as s

c -> s: 第一次請求怕敬，攜帶用戶信息（賬戶揣炕、密碼）
s -> s: 用戶信息加密\n之后得到token
s -> c: 返回token
c -> s: 請求時攜帶token
s -> s: 對token解密之后做認證
s -> c: 響應 

@enduml

• session 存儲在服務器端，cookie 存儲在客戶端东跪。

• cookie 可設置為長時間保持畸陡，session 一般失效時間較短，客戶端關閉（默認情況下）或者 session 超時都會失效虽填。

• session記錄會話信息丁恭，token不會記錄會話信息。token是無狀態(tài)的牲览。

更多技術文章