网络空间安全
Cookie、Session、Token
Cookie、Session、Token

Cookie、Session、Token

Cookie、Session、Token

cookie

cookie将保持在客户端,每次请求都自动加入cookie以维持状态,提高安全性,并且方便

但是有安全风险,容易被串改、容量不能大于4KB、用户可能禁用等

session

session接收到用户信息,下一次响应中加入set-cookie属性(其中有唯一的session ID),客户端存入session ID,每次请求包含cookie,服务端拿到cookie,对比得到用户信息

fig:

但是占用服务器资源、扩展性差、依然依赖cookie跨域限制(不适用于集群环境和前后端分离的架构)

token

fig:

IWT加密后的字符串分三部分

fig:

红色:包含了算法和token类型

fig:

紫色:安全所在包含了传递信息

fig:

蓝色:JWT安全所在,包含了加密后的header、加密后的payload、自己知道的私钥

fig:

token应用过程

fig:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注