将token放在cookie中和直接使用cookie有什么区别?

最新推荐文章于 2025-07-02 03:08:00 发布
最新推荐文章于 2025-07-02 03:08:00 发布
阅读量2.3w 收藏 20
点赞数 12
CC 4.0 BY-SA版权
分类专栏: java token 文章标签: java csrf xss token cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinkaiyuan94/article/details/81940366
本文探讨了Token在Cookie中的应用及安全性,分析了为何需要同时在页面和Cookie中存储Token,以及Cookie同源策略如何保障Token的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

看了几个问题和答案感觉自己明白了一些

token,放在cookie中,还是和直接使用cookie一样,所以仅仅将token放在cookie是不行的;

需要在页面上有一个地方存放token,以表单提交的方式提供给后台,后台可以校验表单中的token和cookie中的token是否一致,一致则继续校验token,不一致直接返回;

既然页面有token了为什么cookie还要额外存放一份,因为如果cookie不存放token,就要localStore存在token,总之要有一个地方将token落盘,因为如果不将token落盘,下次你再打开这个网址的时候,token就没了,还需要重新登录重新获取token;

为什么放在cookie之后,别的网站获取不到cookie里面的token而自己的网站可以获取token中的cookie呢?

因为cookie采取同源策略,只有相同域名的网页才能获取域名对应的cookie,

你在自己的网页上 getCookie可以获取自己的cookie;所以你自己的网站可以获取自己的token,放到input中

而别人在其他域名无法获取你的cookie,也就无法获取你的token,所以当别人伪造请求时,token和cookie中的token是绝对不一致的;

至于想知道token放在cookie和localStore的区别的话,可以百度去查一下,我也不知道,我去百度了

【2023-03-23】Cookie、Session、Token区别与联系
m0_45334833的博客
03-24 275
这个Token不会保存在服务器端,Token本身包含了所有的用户信息,下次发送请求时,客户端可以把Token发送给服务器,由于服务器解密后进行身份验证。• PS:JWT生成的Token包含:header(头部,编码前JSON格式)+payload(载荷,编码前JSON格式))+signature(签名)。(7) Session会在服务器端记录会话状态,而Token使服务器无状态化,无状态话以为server没有保存client的状态信息,所以发送的请求必须包含能够让服务器理解的全部信息,包含自己的状态信息。
前端面试题:Token一般是存放在哪里 Token放在cookie放在localStorage、sessionStorage中有什么不同
m0_67393686的博客
03-09 6002
Token其实就是访问资源的凭证。 一般是用户通过用户名密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
一文读懂Cookie、SessionToken:原理、区别与应用场景
最新发布
weixin_36432875的博客
07-02 88
本文原创首发于公众号【我做开发那些年】与网站【乔文小屋】,现同步转载至本平台,咱上网冲浪的时候,天天各种网站、APP打交道。但HTTP协议有个“毛病”——它记性不好,每次请求都像第一次见面,根本不记得之前你聊过啥。为了解决这个问题,程序员们整出了这三个“神器”,它们就像我们在网络世界的身份证、通行证,帮服务器记住你是谁,都干了啥。今天咱就唠唠这仨到底是干啥的,有啥不一样!
说一下token放在cookie中吗?
m0_74114605的博客
03-24 765
token可以存放在Cookie中,token 是否过期,应该由后端来判断,不该前端来判断,所以token存储在cookie中只要不设置cookie的过期时间就ok了,如果 token 失效,就让后端在接口中返回固定的状态表示token 失效,需要重新登录,再重新登录的时候,重新设置 cookie中的 token就行。(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)。token一般是用来判断用户是否登录的。(用户唯一的身份标识)、(当前时间的时间戳)、
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 8757
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
Token放在 cookie, sessionStorage localStorage 中的区别
温情
06-07 8817
什么是token
将SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
django中间件生成csrf_token
fksfdh的博客
03-04 2526
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
淘宝h5 页面 sign加密算法
12-10 1990
1.淘宝sign加密算法 淘宝对于h5的访问采用了客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign, MTOP利用这个摘用值cookie中的token来防止UR...
vue router 获取全路径_vue-router路由守卫--中(token获取存储)
weixin_29189381的博客
02-03 1636
前面我们已经对没有获取token的情况进行分析,接下来我们看看如何获取token,以及获取之后我们应该怎么处理。之前有提到,在用户登录成功之后,后台会存储token登录之后,不仅返回了token,还有username,这个我们后面也会用到。那么接下来我们应该把tokenusername存储起来,因为我们也需要vuex来存放状态,所以分别存在vuex中和cookie中。前面刚刚记录过vuex的使用...
网页或APP抓包请求参数有什么意思,怎么更快的抓包获取这些请求
weixin_46737755的博客
02-01 2499
网页抓包 首先对于网页爬虫来说怎么抓包呢?很简单,我们直接在网页上右键点击检查或者快捷键 F12 就可以进入开发者调试工具。如果页面是经过请求接口而返回的数据的话,在 Network 中,它就会产生请求的数据,我们在这里都能捕捉到。 我们还是以之前的 P 站为例,我们点开一个接口,这个接口分为两部分,一个是请求的数据,一个是返回的数据,请求的信息主要在 Headers 里面,它主要有以下几部分,第 1 部分,General 里面主要包含了请求的链接 URL 以及他的请求方式,用的多的就是 get
Token存储:Cookie与LocalStorage对比
Yue
04-14 525
在决定将身份验证令牌(Token)存储在 Cookie 还是 LocalStorage 时,需根据安全性、应用场景实现复杂度综合评估。
前端面试题:Token一般是存放在哪里? Token放在cookie放在localStorage、sessionStorage中有什么不同?
热门推荐
qq_46582421的博客
02-09 1万+
Token其实就是访问资源的凭证。 一般是用户通过用户名密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
cookie、Session、Token、sessionStorage、localStorage简介
戰士博客
10-09 2539
cookie 是一个非常具体的东西,只得是浏览器里永久存储的一种数据,是浏览器实现的一种数据存储功能。Cookie在计算机中是个存储在浏览器目录中的文本文件,当浏览器运行时,存储在RAM中发挥作用(此种 Cookies 称作 Session Cookies),一旦用户从该网站或服务器退出,Cookie可存储在用户本地的硬盘上(此种Cookies称作Persistent Cookies)。Cook...
cookie session localstorage sessionstorage token区别联系
weixin_38552195的博客
05-28 445
产生的原因 因为HTTP是一个无状态的协议,因此无法在打开用户监控界面(index.html)时检测到用户是否已经登录系统的信息。用户登录成功的状态只在登录页(login.html)的当前页面有效,只要页面跳转,登录信息就会消失。因此如果用户直接请求监控界面,是无法获取到用户的登录状态,并判断用户是否有权限获取页面数据及操作页面的。 cookie session的具体实现机制 由于HTTP的无状态性,为了使同一域名下的所有网页能够共享某些数据,让login.htmlindex.html关联起来,必须使
cookie,localStorage,sessionstorage及token区别
weixin_48366131的博客
11-18 1016
cookiesesson 安全性:sesson比cookie安全,sesson时存储在服务器端的,cookie时存储在客户端 储存的类型不同:cookie只支持字符串数据。想要设置其他类型的数据需要转成字符串sesson可以储存任意类型 有效期不同:cookie可以设置长时间保存比如长使用的默认登陆功能,sesson一般失效事件较短,客户端关闭或者sesoon超市都会失效 储存大小不同:单个cookie储存的数据不能超过4k,sesson可储存的数据远高于cookie,但是访问量过多,会占用过多的服务器
五、cookie、session、token、localstroage、sessionStroage区别
qq_43631129的博客
11-28 1066
五、cookie、session、token、localstroage、sessionStroage区别
token到底存在哪比较适合?web storagecookie区别到底是什么?
qq_43618136的博客
03-11 5131
首先我们要知道token是个什么东西? 其实token就是信息加密后生成的登录凭证,tokens 是多用户下处理认证的最佳方式。因为 无状态、可扩展(不需要把session存在本地) 支持移动设备 跨程序调用 安全 那接下来你要知道的是存储这一东西的选择方向: 你可以存在cookie中, cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据。跟服务器没啥关系,仅仅是浏览器实现的一种数据存储功能。他的大小数量都被相应限制。 你可以存储在session中, se
token放在cookie
07-25
token放在cookie中有几个原因。首先,cookie是服务器发给客户端的特殊信息,以文本的形式保存在客户端。每次请求都会带上cookie,这样可以方便地在客户端服务器之间传递token信息。\[2\]其次,cookie具有同源...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值