Cookie、Session、Token

Cookie

1. 什么是cookie?

• Cookie 是一种由服务器发送到客户端浏览器的小数据片段，用于存储用户的状态信息。例如，用户登录状态或用户偏好设置可以通过Cookie进行管理。
• 计算机cookie更正式地称为 HTTP cookie、网络 cookie、互联网 cookie 或浏览器 cookie。该名称是“魔术 cookie”的缩写版本，“魔术 cookie”是一个术语，指的是计算机接收并在不更改或更改的情况下发回的数据包。
• Cookie 通常包含两部分数据：每个用户的唯一 ID 和网站名称。Cookie 使网站能够在你再次访问它们时检索这些信息，以便它们能够记住你和你的偏好，并根据这些信息为你定制页面内容。如果没有 cookie，你在离开网站后必须重新登录，或者在关闭网页后重新构建你的购物车。这使得 cookie 成为互联网体验的重要组成部分。

简单来说，cookie就相当于你的身份牌，假设一个场景，你现在是国家保密局特工，Cookie就相当于特工的身份牌，并且这个身份牌是加密的（需要暗号口令），用于验证身份（类似于对上口令就能进入保密区域）。你每天到保密区域工作，都需要这个身份牌，以及对口令。但这只是让你能够进去，但你真实的敏感信息（如你的任务、住址）是存储在保密局档案中（服务器中），通过令牌关联，保密局管理人员(服务器)校验无误后，从安全档案库中调取用户的状态和权限。这样的机制既保障了效率又避免了敏感数据暴露。（暗号口令相当于 Session ）并且Session 是临时的，每天的暗号会更新，当你下班离开（关闭浏览器或 Session 过期），这个暗号就会失效，下次来需要重新生成新的暗号（重新创建Session）。

但在早期Web场景中，Cookie如同保密局特工的纸质身份牌，其上直接记录明文信息（如特工编号、临时权限），警卫（服务器）仅通过牌面内容验证身份，敏感信息虽部分存于档案库（服务器），但牌面数据可被直接篡改或窃取，存在越权风险；而现代Cookie则进化为电子身份令牌，仅存储无意义序列号（如 token=abc123 ），真实权限、任务等敏感信息加密存储于档案库，每次验证时令牌仅作为「钥匙」触发服务器查询，结合加密传输（ Secure ）、禁止前端读取（ HttpOnly ）等机制，既保障通行效率，又实现敏感数据零暴露，从「信息载体」彻底转变为「安全验证枢纽」。

2. Cookie的工作原理是怎么样的？

1. 创建：服务器生成Cookie并将其发送到浏览器。
2. 存储：浏览器在本地存储Cookie。
3. 发送：浏览器在每次向服务器发起请求时自动附带相应的Cookie。

3. Cookie有哪些优缺点呢？

优点：

• 客户端存储：Cookie存储在客户端，服务器负担较轻。

• 自动发送：每次请求时自动发送，适合无状态应用。

缺点

• 容量限制：单个Cookie大小有限制，通常为4KB。
• 安全性：易受CSRF（跨站请求伪造）攻击。
• 易被篡改：Cookie内容可以被客户端修改，需加密处理。

Session

1 .什么是Session?

• Session是在服务器端存储用户会话信息的机制。用户登录后，服务器为其创建一个唯一的Session ID，并将其发送到客户端，客户端将Session ID存储在Cookie中，用于后续的请求。

我们继续沿用刚才的特工例子，在这里，Cookie更像一个临时的身份牌，并且这张卡很小，只能记录简单的信息。并且有被窃取和伪造的风险（安全性低）。我们的门卫通过Cookie来查看身份信息，但不知道你具体的任务细节。而Session是总部的特工机密档案库，里面存储了你的所有信息和任务细节，并且你的ID编号是唯一的，只能通过你这个唯一ID去找。那么这些重要的档案绝不会交给你随身携带，而是被锁在总部（服务器端），只有总部（服务器）才能随时调取和修改。那么这样就大大增加了安全性。

2. Session的工作原理是怎么样的？

• 创建：服务器创建Session并生成唯一的 Session ID。

• 存储：用户的会话数据存储在服务器端。

• 发送：服务器将 Session ID 发送到客户端，客户端将其存储在Cookie中。

• 验证：每次请求时，客户端将 Session ID 发送到服务器，服务器通过 ID 查找对应的会话数据。

3. Session有哪些优缺点呢？

优点：

• 安全性高：敏感数据存储在服务器端，减少数据被篡改的风陷。
• 容量大：可以存储更多的数据。

缺点：

• 服务器负担：服务器需要维护和存储会话状态，可能会增加负担。
• Session过期：如果服务器崩溃，Session可能会消失。

我们可以说，Session是Cookie技术的延伸，Cookie在客户端标记用户身份，而Session是负责在服务器端存储用户的状态。我们为了弥补Cookie技术的不足，所以才引入了Session机制。并且Session是无法独立工作的，我们必须通过Cookie传递一个唯一的标识——Session ID。

Token

1. 什么是Token?

• Token是一种自包含的数据结构，用于存储用户的身份信息，常见的Token形式有 JWT（JSON Web Token）和 OAuth Token。

我们继续沿用上面的特工举例，对比Cookie和Session，Token更像是总部给特工的一次性密码本，里面包含了所有的信息（包括你的ID，权限，任务细节并加上签名），那我们到达执行任务的地点，只需要把这个一次性密码本给门卫看，门卫（服务器）通过验证签名，来确保密码本没有被篡改，并直接读取任务信息，无需再找总部获取档案。

2.Token的工作原理是怎么样的？

• 创建：服务器生成Token，并包含用户信息。

• 发送：Token发送到客户端，通常由HTTP头部传输。

• 存储：客户端可以将Token存储在 Local Storage 或 Session Storage 中。

• 验证：客户端将Token加入到每次请求中，服务器验证Token的有效性。

3.Token有哪些优缺点呢？

优点

• 自包含：Token包含了所有必要信息，适合无状态的认证机制。

• 扩展性好：支持分布式系统和微服务架构。

缺点

• 安全问题：Token一旦泄露可能会被恶意使用。
• 过期管理：需要额外的机制来处理Token的过期和刷新。

我们可以说 Token 是去中心化的身份凭证，Cookie 和 Session 都需要依赖服务器存储状态，而Token是让客户端自带信息，并且这个信息是一次性的。

Cookie、Session、token 的对比

Cookie 的核心风险在于 浏览器自动管理（自动发送、存储于客户端） 的特性。容易成为攻击者的目标。攻击者可以诱导用户访问恶意网站。

Session 数据存储在服务器内存或数据库中，一旦服务器被攻击（如SQL注入、文件漏洞），攻击者可直接窃取所有用户的 Session 数据。

Token 通常需要客户端主动携带（如放在请求头或URL参数中），而非浏览器自动发送，攻击者难以通过跨站请求伪造（CSRF）获取或利用Token。