Token,Session,Cookie,Jwt,Oauth2傻傻分不清楚
作者:蘇三
Cookie是存儲在瀏覽器端的一小段文本數據,由服務器通過HTTP響應頭的Set-Cookie字段發送給瀏覽器,瀏覽器隨后會自動在每次請求中通過Cookie頭將其帶回給服務器。
前言
最近發現有些小伙伴,對Token、Session、Cookie、JWT、OAuth2這些概念非常容易搞混。
有些小伙伴在工作中可能會遇到過這樣的困惑:
- 做登錄功能時,到底該用Session還是JWT?
- OAuth2和Token是什么關系?
- 為什么有的方案要把Token存在Cookie里?
今天這篇文章專門跟大家一起聊聊這個話題,希望對你會有所幫助。
一、從餐廳就餐模型開始講
為了讓大家更好理解,我先用一個餐廳就餐的比喻來解釋這些概念:
圖片
現在,讓我們深入每個概念的技術細節。
二、Cookie:HTTP的世界身份證
2.1 什么是Cookie?
Cookie是存儲在瀏覽器端的一小段文本數據,由服務器通過HTTP響應頭的Set-Cookie字段發送給瀏覽器,瀏覽器隨后會自動在每次請求中通過Cookie頭將其帶回給服務器。
工作原理:
圖片
2.2 Cookie實戰代碼
// 服務器設置Cookie
@PostMapping("/login")
public ResponseEntity login(@RequestBody User user, HttpServletResponse response) {
if (authService.authenticate(user)) {
Cookie cookie = new Cookie("session_id", generateSessionId());
cookie.setMaxAge(3600); // 1小時有效期
cookie.setHttpOnly(true); // 防止XSS攻擊
cookie.setSecure(true); // 僅HTTPS傳輸
cookie.setPath("/"); // 對整個站點有效
response.addCookie(cookie);
return ResponseEntity.ok().build();
}
return ResponseEntity.status(401).build();
}
// 讀取Cookie
@GetMapping("/profile")
public ResponseEntity getProfile(@CookieValue("session_id") String sessionId) {
User user = sessionService.getUserBySession(sessionId);
return ResponseEntity.ok(user);
}2.3 Cookie的重要屬性
屬性 | 作用 | 安全建議 |
HttpOnly | 防止JavaScript訪問 | 必須設置為true,防XSS |
Secure | 僅通過HTTPS傳輸 | 生產環境必須設置為true |
SameSite | 控制跨站請求時是否發送Cookie | 建議設置為Strict或Lax |
Max-Age | 設置Cookie有效期 | 根據業務安全性要求設置 |
三、Session:服務端的用戶檔案
3.1 什么是Session?
Session是存儲在服務器端的用戶狀態信息。服務器為每個用戶創建一個唯一的Session ID,并通過Cookie將這個ID傳遞給瀏覽器,瀏覽器后續請求時帶上這個ID,服務器就能識別用戶身份。
Session存儲結構:
// 典型的Session數據結構
public class UserSession {
private String sessionId;
private String userId;
private String username;
private Date loginTime;
private Date lastAccessTime;
private Map<String, Object> attributes; // 自定義屬性
// 省略getter/setter
}3.2 Session實戰代碼
// 基于Spring Session的實現
@PostMapping("/login")
public String login(@RequestParam String username,
@RequestParam String password,
HttpSession session) {
User user = userService.authenticate(username, password);
if (user != null) {
// 將用戶信息存入Session
session.setAttribute("currentUser", user);
session.setAttribute("loginTime", new Date());
return"redirect:/dashboard";
}
return"login?error=true";
}
@GetMapping("/dashboard")
public String dashboard(HttpSession session) {
// 從Session獲取用戶信息
User user = (User) session.getAttribute("currentUser");
if (user == null) {
return"redirect:/login";
}
return"dashboard";
}3.3 Session的存儲方案
1. 內存存儲(默認)
# application.yml
server:
servlet:
session:
timeout: 1800 # 30分鐘過期時間2. Redis分布式存儲
@Configuration
@EnableRedisHttpSession // 啟用Redis Session存儲
public class SessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory();
}
}3. Session集群同步問題
圖片
四、Token:去中心化的身份令牌
4.1 什么是Token?
Token是一種自包含的身份憑證,服務器不需要在服務端存儲會話狀態,所有必要信息都包含在Token本身中。
Token vs Session 核心區別:
圖片
4.2 Token實戰代碼
// 生成Token
public String generateToken(User user) {
long currentTime = System.currentTimeMillis();
return JWT.create()
.withIssuer("myapp") // 簽發者
.withSubject(user.getId()) // 用戶ID
.withClaim("username", user.getUsername())
.withClaim("role", user.getRole())
.withIssuedAt(new Date(currentTime)) // 簽發時間
.withExpiresAt(new Date(currentTime + 3600000)) // 過期時間
.sign(Algorithm.HMAC256(secret)); // 簽名密鑰
}
// 驗證Token
public boolean validateToken(String token) {
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret))
.withIssuer("myapp")
.build();
DecodedJWT jwt = verifier.verify(token);
returntrue;
} catch (JWTVerificationException exception) {
returnfalse;
}
}五、JWT:現代化的Token標準
5.1 什么是JWT?
JWT(JSON Web Token)是一種開放標準(RFC 7519),用于在各方之間安全地傳輸信息作為JSON對象。
這種信息可以被驗證和信任,因為它是數字簽名的。
JWT結構:
header.payload.signature解碼示例:
// Header
{
"alg": "HS256",
"typ": "JWT"
}
// Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022,
"exp": 1516242622
}
// Signature
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)5.2 JWT實戰代碼
// 創建JWT
public String createJWT(User user) {
return Jwts.builder()
.setHeaderParam("typ", "JWT")
.setSubject(user.getId())
.setIssuer("myapp")
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + 3600000))
.claim("username", user.getUsername())
.claim("role", user.getRole())
.signWith(SignatureAlgorithm.HS256, secret.getBytes())
.compact();
}
// 解析JWT
public Claims parseJWT(String jwt) {
return Jwts.parser()
.setSigningKey(secret.getBytes())
.parseClaimsJws(jwt)
.getBody();
}
// 在Spring Security中使用JWT
@Component
publicclass JwtFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain chain) {
String token = resolveToken(request);
if (token != null && validateToken(token)) {
Authentication auth = getAuthentication(token);
SecurityContextHolder.getContext().setAuthentication(auth);
}
chain.doFilter(request, response);
}
}5.3 JWT的最佳實踐
1. 安全存儲
// 前端安全存儲方案
// 不推薦:localStorage(易受XSS攻擊)
// 推薦:HttpOnly Cookie(防XSS)或內存存儲2. 令牌刷新機制
// 雙Token機制:Access Token + Refresh Token
publicclass TokenPair {
private String accessToken; // 短期有效:1小時
private String refreshToken; // 長期有效:7天
}
// 刷新令牌接口
@PostMapping("/refresh")
public ResponseEntity refresh(@RequestBody RefreshRequest request) {
String refreshToken = request.getRefreshToken();
if (validateRefreshToken(refreshToken)) {
String userId = extractUserId(refreshToken);
String newAccessToken = generateAccessToken(userId);
return ResponseEntity.ok(new TokenPair(newAccessToken, refreshToken));
}
return ResponseEntity.status(401).build();
}六、OAuth 2.0:授權框架之王
6.1 什么是OAuth 2.0?
OAuth 2.0是一個授權框架,允許第三方應用在獲得用戶授權后,代表用戶訪問受保護的資源。
OAuth 2.0角色:
- 資源所有者(Resource Owner):用戶
- 客戶端(Client):第三方應用
- 授權服務器(Authorization Server):頒發訪問令牌
- 資源服務器(Resource Server):托管受保護資源
6.2 OAuth 2.0授權碼流程
圖片
6.3 OAuth 2.0實戰代碼
// Spring Security OAuth2配置
@Configuration
@EnableAuthorizationServer
publicclass AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("clientapp")
.secret(passwordEncoder.encode("123456"))
.authorizedGrantTypes("authorization_code", "refresh_token")
.scopes("read", "write")
.redirectUris("http://localhost:8080/callback");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints.authenticationManager(authenticationManager)
.tokenStore(tokenStore())
.accessTokenConverter(accessTokenConverter());
}
}
// 資源服務器配置
@Configuration
@EnableResourceServer
publicclass ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/public/**").permitAll()
.antMatchers("/api/private/**").authenticated()
.antMatchers("/api/admin/**").hasRole("ADMIN");
}
}七、五大概念對比
為了讓大家更清晰地理解這五個概念的關系和區別,我準備了以下對比表格:
7.1 功能定位對比
概念 | 本質 | 存儲位置 | 主要用途 | 特點 |
Cookie | HTTP狀態管理機制 | 瀏覽器 | 維持會話狀態 | 自動攜帶,有大小限制 |
Session | 服務端會話信息 | 服務器 | 存儲用戶狀態 | 服務端狀態,需要存儲管理 |
Token | 訪問憑證 | 客戶端/服務端 | 身份認證 | 自包含,可驗證 |
JWT | Token的一種實現標準 | 客戶端/服務端 | 安全傳輸信息 | 標準化,自包含,可簽名 |
OAuth2 | 授權框架 | 不直接存儲 | 第三方授權 | 標準化授權流程 |
7.2 應用場景對比
場景 | 推薦方案 | 原因說明 |
傳統Web應用 | Session + Cookie | 簡單易用,生態成熟 |
前后端分離應用 | JWT | 無狀態,適合API認證 |
第三方登錄 | OAuth 2.0 | 標準化授權,安全可靠 |
微服務架構 | JWT | 分布式認證,無需會話同步 |
移動端應用 | Token | 輕量級,適合移動網絡 |
7.3 安全考慮對比
安全威脅 | Cookie方案防護 | Token/JWT方案防護 |
XSS攻擊 | HttpOnly Cookie | 避免localStorage存儲 |
CSRF攻擊 | SameSite Cookie | 自定義Header+CSRF Token |
令牌泄露 | 短期有效+HTTPS | 短期有效+HTTPS+刷新機制 |
數據篡改 | 服務端驗證 | 簽名驗證 |
總結
通過今天的深入探討,我們可以得出以下結論:
- Cookie是載體:HTTP協議的狀態管理機制,是Session和Token的傳輸媒介之一。
- Session是狀態:服務端維護的會話狀態,需要借助Cookie或URL重寫來實現。
- Token是憑證:認證授權的憑證,可以放在Cookie、Header或URL中。
- JWT是標準:Token的一種標準化實現,自包含、可驗證、可信任。
- OAuth2是框架:授權框架,定義了完整的第三方授權流程。
最終建議:
- 簡單Web應用:Session + Cookie
- 前后端分離:JWT + HTTP Header
- 第三方授權:OAuth 2.0 + JWT
沒有最好的方案,只有最合適的方案。
理解每個技術的本質和適用場景,才能做出正確的架構決策。
責任編輯:武曉燕
來源:
蘇三說技術
