一文完全搞懂Cookie、Session、Token究竟是什么

时间 2019-12-17

标签一文完全 cookie session token 究竟什么栏目 HTML 繁體版

原文原文链接

> 笔者文笔功力尚浅，若有不妥，请慷慨指出，一定感激涕零html

Cookie

洛：大爷，楼上322住的是马冬梅家吧？

大爷：马都什么？

夏洛：马冬梅。

大爷：什么都没啊？

夏洛：马冬梅啊。

大爷：马什么没？

夏洛：行，大爷你先凉快着吧。

在了解这三个概念以前咱们先要了解HTTP是无状态的Web服务器，什么是无状态呢？就像上面夏洛特烦恼中经典的一幕对话同样，一次对话完成后下一次对话彻底不知道上一次对话发生了什么。若是在Web服务器中只是用来管理静态文件还好说，对方是谁并不重要，把文件从磁盘中读取出来发出去便可。可是随着网络的不断发展，好比电商中的购物车只有记住了用户的身份才可以执行接下来的一系列动做。因此此时就须要咱们无状态的服务器记住一些事情。git

那么Web服务器是如何记住一些事情呢？既然Web服务器记不住东西，那么咱们就在外部想办法记住，至关于服务器给每一个客户端都贴上了一个小纸条。上面记录了服务器给咱们返回的一些信息。而后服务器看到这张小纸条就知道咱们是谁了。那么Cookie是谁产生的呢？Cookies是由服务器产生的。接下来咱们描述一下Cookie产生的过程github

浏览器第一次访问服务端时，服务器此时确定不知道他的身份，因此建立一个独特的身份标识数据，格式为key=value，放入到Set-Cookie字段里，随着响应报文发给浏览器。
浏览器看到有Set-Cookie字段之后就知道这是服务器给的身份标识，因而就保存起来，下次请求时会自动将此key=value值放入到Cookie字段中发给服务端。
服务端收到请求报文后，发现Cookie字段中有值，就能根据此值识别用户的身份而后提供个性化的服务。

接下来咱们用代码演示一下服务器是如何生成，咱们本身搭建一个后台服务器，这里我用的是SpringBoot搭建的，而且写入SpringMVC的代码以下。web

@RequestMapping("/testCookies")
public String cookies(HttpServletResponse response){
    response.addCookie(new Cookie("testUser","xxxx"));
    return "cookies";
}

项目启动之后咱们输入路径http://localhost:8005/testCookies，而后查看发的请求。能够看到下面那张图使咱们首次访问服务器时发送的请求，能够看到服务器返回的响应中有Set-Cookie字段。而里面的key=value值正是咱们服务器中设置的值。算法

接下来咱们再次刷新这个页面能够看到在请求体中已经设置了Cookie字段，而且将咱们的值也带过去了。这样服务器就可以根据Cookie中的值记住咱们的信息了。数据库

接下来咱们换一个请求呢？是否是Cookie也会带过去呢？接下来咱们输入路径http://localhost:8005请求。咱们能够看到Cookie字段仍是被带过去了。json

那么浏览器的Cookie是存放在哪呢？若是是使用的是Chrome浏览器的话，那么能够按照下面步骤。segmentfault

在计算机打开Chrome
在右上角，一次点击更多图标->设置
在底部，点击高级
在隐私设置和安全性下方，点击网站设置
依次点击Cookie->查看全部Cookie和网站数据

而后能够根据域名进行搜索所管理的Cookie数据。因此是浏览器替你管理了Cookie的数据，若是此时你换成了Firefox等其余的浏览器，由于Cookie刚才是存储在Chrome里面的，因此服务器又蒙圈了，不知道你是谁，就会给Firefox再次贴上小纸条。后端

Cookie中的参数设置

说到这里，应该知道了Cookie就是服务器委托浏览器存储在客户端里的一些数据，而这些数据一般都会记录用户的关键识别信息。因此Cookie须要用一些其余的手段用来保护，防止外泄或者窃取，这些手段就是Cookie的属性。api

参数名	做用	后端设置方法
Max-Age	设置cookie的过时时间，单位为秒	`cookie.setMaxAge(10)`
Domain	指定了Cookie所属的域名	`cookie.setDomain("")`
Path	指定了Cookie所属的路径	`cookie.setPath("");`
HttpOnly	告诉浏览器此Cookie只能靠浏览器Http协议传输,禁止其余方式访问	`cookie.setHttpOnly(true)`
Secure	告诉浏览器此Cookie只能在Https安全协议中传输,若是是Http则禁止传输	`cookie.setSecure(true)`

下面我就简单演示一下这几个参数的用法及现象。

Path

设置为cookie.setPath("/testCookies")，接下来咱们访问http://localhost:8005/testCookies，咱们能够看到在左边和咱们指定的路径是同样的，因此Cookie才在请求头中出现，接下来咱们访问http://localhost:8005，咱们发现没有Cookie字段了，这就是Path控制的路径。

Domain

设置为cookie.setDomain("localhost")，接下来咱们访问http://localhost:8005/testCookies咱们发现下图中左边的是有Cookie的字段的，可是咱们访问http://172.16.42.81:8005/testCookies，看下图的右边能够看到没有Cookie的字段了。这就是Domain控制的域名发送Cookie。

接下来的几个参数就不一一演示了，相信到这里你们应该对Cookie有一些了解了。

Session

> Cookie是存储在客户端方，Session是存储在服务端方，客户端只存储SessionId

在上面咱们了解了什么是Cookie，既然浏览器已经经过Cookie实现了有状态这一需求，那么为何又来了一个Session呢？这里咱们想象一下，若是将帐户的一些信息都存入Cookie中的话，一旦信息被拦截，那么咱们全部的帐户信息都会丢失掉。因此就出现了Session，在一次会话中将重要信息保存在Session中，浏览器只记录SessionId一个SessionId对应一次会话请求。

@RequestMapping("/testSession")
@ResponseBody
public String testSession(HttpSession session){
    session.setAttribute("testSession","this is my session");
    return "testSession";
}


@RequestMapping("/testGetSession")
@ResponseBody
public String testGetSession(HttpSession session){
    Object testSession = session.getAttribute("testSession");
    return String.valueOf(testSession);
}

这里咱们写一个新的方法来测试Session是如何产生的，咱们在请求参数中加上HttpSession session，而后再浏览器中输入http://localhost:8005/testSession进行访问能够看到在服务器的返回头中在Cookie中生成了一个SessionId。而后浏览器记住此SessionId下次访问时能够带着此Id，而后就能根据此Id找到存储在服务端的信息了。

此时咱们访问路径http://localhost:8005/testGetSession，发现获得了咱们上面存储在Session中的信息。那么Session何时过时呢？

客户端：和Cookie过时一致，若是没设置，默认是关了浏览器就没了，即再打开浏览器的时候初次请求头中是没有SessionId了。
服务端：服务端的过时是真的过时，即服务器端的Session存储的数据结构多久不可用了，默认是30分钟。

既然咱们知道了Session是在服务端进行管理的，那么或许大家看到这有几个疑问，Session是在在哪建立的？Session是存储在什么数据结构中？接下来带领你们一块儿看一下Session是如何被管理的。

Session的管理是在容器中被管理的，什么是容器呢？Tomcat、Jetty等都是容器。接下来咱们拿最经常使用的Tomcat为例来看下Tomcat是如何管理Session的。在ManageBase的createSession是用来建立Session的。

@Override
public Session createSession(String sessionId) {
    //首先判断Session数量是否是到了最大值，最大Session数能够经过参数设置
    if ((maxActiveSessions &gt;= 0) &amp;&amp;
            (getActiveSessions() &gt;= maxActiveSessions)) {
        rejectedSessions++;
        throw new TooManyActiveSessionsException(
                sm.getString("managerBase.createSession.ise"),
                maxActiveSessions);
    }

    // 重用或者建立一个新的Session对象，请注意在Tomcat中就是StandardSession
    // 它是HttpSession的具体实现类，而HttpSession是Servlet规范中定义的接口
    Session session = createEmptySession();


    // 初始化新Session的值
    session.setNew(true);
    session.setValid(true);
    session.setCreationTime(System.currentTimeMillis());
    // 设置Session过时时间是30分钟
    session.setMaxInactiveInterval(getContext().getSessionTimeout() * 60);
    String id = sessionId;
    if (id == null) {
        id = generateSessionId();
    }
    session.setId(id);// 这里会将Session添加到ConcurrentHashMap中
    sessionCounter++;
    
    //将建立时间添加到LinkedList中，而且把最早添加的时间移除
    //主要仍是方便清理过时Session
    SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
    synchronized (sessionCreationTiming) {
        sessionCreationTiming.add(timing);
        sessionCreationTiming.poll();
    }
    return session
}

到此咱们明白了Session是如何建立出来的，建立出来后Session会被保存到一个ConcurrentHashMap中。能够看StandardSession类。

protected Map<string, session> sessions = new ConcurrentHashMap&lt;&gt;();

到这里你们应该对Session有简单的了解了。

> Session是存储在Tomcat的容器中，因此若是后端机器是多台的话，所以多个机器间是没法共享Session的，此时可使用Spring提供的分布式Session的解决方案，是将Session放在了Redis中。

Token

Session是将要验证的信息存储在服务端，并以SessionId和数据进行对应，SessionId由客户端存储，在请求时将SessionId也带过去，所以实现了状态的对应。而Token是在服务端将用户信息通过Base64Url编码事后传给在客户端，每次用户请求的时候都会带上这一段信息，所以服务端拿到此信息进行解密后就知道此用户是谁了，这个方法叫作JWT(Json Web Token)。

> Token相比较于Session的优势在于，当后端系统有多台时，因为是客户端访问时直接带着数据，所以无需作共享数据的操做。

Token的优势

简洁：能够经过URL,POST参数或者是在HTTP头参数发送，由于数据量小，传输速度也很快
自包含：因为串包含了用户所须要的信息，避免了屡次查询数据库
由于Token是以Json的形式保存在客户端的，因此JWT是跨语言的
不须要在服务端保存会话信息，特别适用于分布式微服务

JWT的结构

实际的JWT大概长下面的这样，它是一个很长的字符串，中间用.分割成三部分

JWT是有三部分组成的

Header

是一个Json对象，描述JWT的元数据，一般是下面这样子的

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。最后，将上面的 JSON 对象使用 Base64URL 算法转成字符串。

> JWT 做为一个令牌（token），有些场合可能会放到 URL（好比 api.example.com/?token=xxx）。Base64 有三个字符+、/和=，在 URL 里面有特殊含义，因此要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

Payload

Payload部分也是一个Json对象，用来存放实际须要传输的数据，JWT官方规定了下面几个官方的字段供选用。

iss (issuer)：签发人
exp (expiration time)：过时时间
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：生效时间
iat (Issued At)：签发时间
jti (JWT ID)：编号

固然除了官方提供的这几个字段咱们也可以本身定义私有字段，下面就是一个例子

{
  "name": "xiaoMing",
  "age": 14
}

默认状况下JWT是不加密的，任何人只要在网上进行Base64解码就能够读到信息，因此通常不要将秘密信息放在这个部分。这个Json对象也要用Base64URL 算法转成字符串

Signature

Signature部分是对前面的两部分的数据进行签名，防止数据篡改。

首先须要定义一个秘钥，这个秘钥只有服务器才知道，不能泄露给用户，而后使用Header中指定的签名算法(默认状况是HMAC SHA256)，算出签名之后将Header、Payload、Signature三部分拼成一个字符串，每一个部分用.分割开来，就能够返给用户了。

> HS256可使用单个密钥为给定的数据样本建立签名。当消息与签名一块儿传输时，接收方可使用相同的密钥来验证签名是否与消息匹配。

Java中如何使用Token

上面咱们介绍了关于JWT的一些概念，接下来如何使用呢？首先在项目中引入Jar包

compile('io.jsonwebtoken:jjwt:0.9.0')

而后编码以下

// 签名算法 ，将对token进行签名
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 经过秘钥签名JWT
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("SECRET");
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
Map<string,object> claimsMap = new HashMap&lt;&gt;();
claimsMap.put("name","xiaoMing");
claimsMap.put("age",14);
JwtBuilder builderWithSercet = Jwts.builder()
        .setSubject("subject")
        .setIssuer("issuer")
        .addClaims(claimsMap)
        .signWith(signatureAlgorithm, signingKey);
System.out.printf(builderWithSercet.compact());

发现输出的Token以下

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJzdWJqZWN0IiwiaXNzIjoiaXNzdWVyIiwibmFtZSI6InhpYW9NaW5nIiwiYWdlIjoxNH0.3KOWQ-oYvBSzslW5vgB1D-JpCwS-HkWGyWdXCP5l3Ko

此时在网上随便找个Base64解码的网站就能将信息解码出来

总结

相信你们看到这应该对Cookie、Session、Token有必定的了解了，接下来再回顾一下重要的知识点

Cookie是存储在客户端的
Session是存储在服务端的，能够理解为一个状态列表。拥有一个惟一会话标识SessionId。能够根据SessionId在服务端查询到存储的信息。
Session会引起一个问题，即后端多台机器时Session共享的问题，解决方案可使用Spring提供的框架。
Token相似一个令牌，无状态的，服务端所需的信息被Base64编码后放到Token中，服务器能够直接解码出其中的数据。