最全session和cookie的区别（2）

最全session和cookie的区别

本文由孙千丽撰写，旨在阐述session和cookie的区别，并提供一个实用的安全性场景来加深理解。

Cookie的安全性隐患

文章首先指出Cookie存在安全隐患，包括Cookie欺骗和截获。由于Cookie以纯文本形式传输，容易被恶意截获，导致个人信息泄露，包括账户信息和电子邮件。即使使用MD5加密，恶意用户仍可通过重放攻击伪装成合法用户。

session和cookie的区别

接着，文章详述session和cookie的主要区别。session存储在服务器端，安全性较高，而cookie保存在客户端，容易被修改，安全性较低。session依赖cookie传递，如果禁用cookie，则session无法正常使用。session的缺点在于增加服务器资源消耗，但可以通过技术如redis优化。与cookie的存储限制4KB不同，session无存储量限制。建议将敏感信息存入session，其他非敏感信息存入cookie中以减轻服务器负担。

cookie的优点

文中也提及了cookie的优点，尤其是在客户端存储，不给服务器带来压力。cookie容易创建和管理，可设置有效期，并且服务端和客户端都能生成cookie。

Token技术

最后，文章讲解了Token技术的功能，它主要用于解决session的性能问题。Token不存储于服务器，不依赖于cookie，可以通过请求头或体发送，减少服务器资源占用。使用token或session进行鉴权时，需在登录后获取并在请求鉴权接口时携带它们。

文章结尾提供了对于网站安全性与便捷性的建议，推荐结合使用cookie和session以达到既方便又安全的效果。（The End）

附加信息

最后，文章提供了测试开发试听课的链接以及字节跳动内推信息，并鼓励读者投入时间和努力以实现薪资增长。