Token和cookie有啥区别？网络安全实战技巧

Posted 2023-05-08

参考技术A 　　Token和cookie有什么区别？Token和cookie有何不同？Token有什么特点？Token和cookie都是网络协议相关知识点，网络安全工程师需要了解的基本内容。要成为优秀的网络安全工程师，需要掌握扎实的网络安全技能。随着网络安全市场需求的增加，学习网络安全技能的人们越来越多，网络安全越来越受欢迎。Token和cookie有什么区别？Token有什么特点？

　　Token和cookie有什么区别？

　　token和cookie一样都是首次登陆时，由服务器下发，都是当交互时进行验证的功能，作用都是为无状态的HTTP提供的持久机制。

　　token存在哪儿都行，localstorage或者cookie。

　　对于token而言，服务器不需要去查看是谁，不需要保存会话。当用户logout的时候cookie和服务器的session都会注销；但是当logout时候token只是注销浏览器信息，不查库。

　　token优势在于，token由于服务器端不存储会话，所以可扩展性强，token还可用于APP中。

　　Token有什么特点？

　　Token完全由应用管理，所以它可以避开同源策略

　　Token可以避免CSRF攻击

　　Token可以是无状态的，可以在多个服务间共享

cookie 和 cookiejar 有啥区别？

【中文标题】cookie 和 cookiejar 有啥区别？

【英文标题】：What is the difference between cookie and cookiejar?cookie 和 cookiejar 有什么区别？

【发布时间】：2015-09-25 01:15:59

【问题描述】：

今天我遇到了“cookiejar”一词（包net/http/cookiejar）。我试图收集一些关于它的信息，但没有得到任何可以理解的信息。我知道 cookie 是服务器发送给客户端的键/值对，例如：Set-Cookie: foo=10，浏览器将其存储在本地，然后每个后续请求浏览器会将这些 cookie 发送回服务器，例如： Cookie: foo=10.

好的，但是 cookiejar 呢？它是什么，长什么样子？

【问题讨论】：

见net/http.CookieJar。

切向相关：如果您需要使用 cookie 存储数据，请使用 github.com/gorilla/securecookie 或会话。经过身份验证的 cookie 对安全性很重要。

【参考方案1】：

一般来说，它是一个数据存储区，应用程序（无论是否浏览器）将它在请求和响应期间使用的 cookie 放置在其中。所以它真的是一个装饼干的罐子。

【参考方案2】：

正如您在问题中所述，cookie 由浏览器（HTTP 客户端）管理，它们允许将信息存储在客户端计算机上，这些信息由浏览器在后续请求中自动发送。

如果您的应用程序充当客户端（您使用 net/http 包连接到远程 HTTP 服务器），则没有浏览器可以处理/管理 cookie。我的意思是存储/记住作为Set-Cookie: 响应标头到达的cookie，并将它们附加到对同一主机/域发出的后续传出请求。 Cookie 也有过期日期，在决定将它们包含在传出请求中之前，您还必须检查该日期。

http.Client 类型允许您设置http.CookieJar 类型的值，如果您这样做，您将拥有自动 cookie 管理，否则将不存在，或者您必须自己做。这使您可以使用net/http 包执行多个请求，服务器将这些请求视为同一会话的一部分，就像它们是由真实浏览器发出的一样，因为通常使用 cookie 维护 HTTP 会话（会话 ID）。

net/http/cookiejar 包是一个 CookieJar 实现，您可以开箱即用。请注意，此实现仅在内存中，这意味着如果您重新启动应用程序，cookie 将会丢失。

---

所以基本上HTTP cookie 是从网站发送的一小段数据，并在用户浏览该网站时存储在用户的网络浏览器中。

Cookiejar 是一个简单的 cookie 管理器（用于管理来自 HTTP 请求和响应标头的 cookie）的 Go interface 和一个 implementation of that interface。

【讨论】：

这是一个很好的解释。

这是一个解释，我正在寻找。谢谢