文章总结: 本文系统解析互联网身份与会话标识技术,重点对比Cookie、Session、Token三大核心机制的原理、优劣及适用场景。Cookie如纸质会员卡存于客户端,Session依赖服务器存储会话记录,Token采用数字签名实现无状态验证。文档还涵盖APIKey、动态口令、数字证书等扩展标识,阐明各类技术如何解决HTTP无状态性问题,为不同应用场景提供身份认证解决方案。 综合评分: 82 文章分类: 应用安全,网络安全,技术标准,安全开发
除了Cookie/Token/Session,一文看懂所有关于身份标识的秘密
原创
Hash先生 Hash先生
倬其安
2026年5月18日 09:10 福建
在小说阅读器读本章
去阅读
你有没有过这样的疑惑:
-
早上打开微信,不用输密码直接就进去了
-
逛淘宝,加购的商品关掉页面再打开还在
-
但换了一台新手机,所有APP都要重新登录一遍
这背后,其实是一套叫做”身份与会话标识”的技术在默默工作。它们就像互联网世界的”身份证”和”通行证”,让服务器能认出”你是谁”,不用每次都让你报一遍家门。
一、为什么需要这些东西?
互联网的基础协议HTTP,天生是”没记性“的。
这就好比你去一家咖啡店买咖啡:
- 第一次去:你点了一杯拿铁,服务员给你做好了
- 过了5分钟你再去:服务员完全不认识你,又问你”请问需要点什么?”
如果互联网真的是这样,那你每打开一个新页面,就要输一次用户名和密码。逛淘宝看10个商品,就要输10次密码,这谁受得了?
为了解决这个”没记性”的问题,工程师们发明了各种”身份标识“。简单来说,就是服务器给你发一个”号码牌“,你下次再来的时候,只要出示这个号码牌,服务器就知道”哦,是你啊”。
所有的Cookie、Session、Token,本质上都是这个”号码牌”的不同形式。
二、三大核心标识:Cookie、Session、Token
这三个是互联网上最基础、最常用的身份标识,几乎所有你用过的网站和APP都在用它们。
🍪 Cookie:服务器给你的”纸质会员卡”
Cookie是最早出现的身份标识,诞生于1994年,至今仍在广泛使用。
原理: 你第一次访问网站的时候,服务器会在你的电脑/手机里存一小段文本,这就是Cookie。里面写着”我是用户12345,我的名字是张三”。 以后你再访问这个网站,浏览器会自动把这段文本发给服务器,服务器一看就知道”哦,张三来了”。
生活类比: 就像咖啡店给你发了一张纸质会员卡,上面写着你的会员号。你把卡放在钱包里,下次来的时候直接出示会员卡,服务员就知道你是谁了。
优点:
- 简单方便,浏览器自动处理,不用你操心
- 可以长期保存,下次打开网站自动登录
缺点:
- 存在你的设备里,容易被偷(比如电脑中毒)
- 不能跨网站使用(淘宝的Cookie不能在京东用)
- 安全性一般,容易被伪造
常见应用: 网站记住你的登录状态、记住你的搜索历史、购物车功能、广告精准投放。
📒 Session:服务器的”会员记录本”
Session是在Cookie的基础上发展出来的,比Cookie更安全。
原理: 你第一次登录的时候,服务器生成一个唯一的”会员号”(Session ID),然后把这个会员号发给你,存在你的Cookie里。 同时,服务器自己会建一个”会员记录本”,上面写着”会员号12345:张三,已登录”。 以后你再来的时候,只要出示会员号,服务器就去自己的记录本里查,确认你的身份。
生活类比: 咖啡店不再给你发会员卡,而是自己建了一个会员记录本。你第一次来的时候,服务员给你一个会员号,你下次来只要报这个号,服务员查一下记录本就知道你是谁了。
优点:
- 比Cookie安全,因为真实的用户信息存在服务器上,不是你的设备里
- 服务器可以随时注销你的会员号(比如你改密码了)
缺点:
- 服务器要存大量的会员记录,人多了会很卡
- 不能跨服务器使用(如果淘宝有100台服务器,你在A服务器登录,去B服务器就不认你了)
- 还是依赖Cookie,如果Cookie被偷了,别人也能冒充你
常见应用: 传统网站的登录系统、银行网银、政府网站、企业内部系统。
🎫 Token:你自己带的”电子通行证”
Token是现在最流行的身份标识,几乎所有的手机APP和微服务都在用它。
原理: 你登录成功后,服务器用加密算法生成一个”电子通行证”(Token),发给你存在你的手机里。 这个通行证里写着”我是张三,有效期到2026年6月1日”,并且有服务器的数字签名,谁也改不了。 以后你再访问服务器,只要出示这个通行证,服务器验证一下签名是真的,就知道你是谁了。
生活类比: 咖啡店给你发了一个电子通行证,存在你的手机里。这个通行证有防伪二维码,谁也伪造不了。你下次来的时候,只要出示手机上的二维码,服务员扫一下就知道你是谁,不用查记录本。
优点:
- 服务器不用存任何东西,只要验证签名就行,人再多也不卡
- 可以跨服务器、跨网站使用(一个Token可以同时访问淘宝和天猫)
- 安全性高,有数字签名,无法伪造
- 可以设置有效期,过期自动失效
缺点:
- 一旦签发,在有效期内无法作废(除非服务器做特殊处理)
- 比Cookie和Session复杂一点
常见应用: 手机银行、微信、支付宝、所有的APP登录、微服务架构、第三方登录(微信登录、QQ登录)。
一张表看懂三者的核心区别
| 对比项 | Cookie | Session | Token | | — | — | — | — | | 存在哪里 | 你的电脑/手机 | 服务器 | 你的电脑/手机 | | 服务器要不要存 | 不用 | 要存大量记录 | 不用 | | 安全性 | 一般 | 较高 | 最高 | | 能不能跨域 | 不能 | 不能 | 能 | | 服务器压力 | 无 | 大 | 小 | | 适合场景 | 简单网站 | 传统单体应用 | 手机APP、微服务 |
三、其他你一定见过的身份标识
除了上面三个核心标识,还有一些专门用于特定场景的身份标识,你肯定也见过。
🔑 API Key:第三方应用的”专属通行证”
API Key是给程序用的身份标识,不是给人用的。 比如天气预报APP要调用气象局的接口,气象局就会给它一个API Key。每次APP请求天气数据的时候,都要带上这个Key,气象局就知道”哦,是这个APP在请求数据”。
常见应用: 地图接口、天气接口、支付接口、所有的开放平台。
🔢 动态口令(OTP):一次性的”验证码”
动态口令就是我们常说的”验证码”,每30秒变一次,只能用一次。 比如银行的短信验证码、Google Authenticator、U盾上显示的数字。
为什么安全: 因为它只能用一次,而且有效期只有30秒。就算被别人偷了,也没用。
常见应用: 银行转账确认、登录二次验证、修改密码。
💳 数字证书:最安全的”电子身份证”
数字证书是由权威机构颁发的,相当于互联网世界的”身份证”。 最常见的就是银行的U盾,里面存着你的数字证书。你转账的时候,U盾会对交易数据进行签名,银行验证签名就知道是你本人在操作。
优点:
- 安全性最高,几乎不可能被伪造
- 可以用于法律上的数字签名
常见应用: 企业网银、大额转账、电子合同、政府网站。
📱 设备指纹:你的手机”独一无二的特征”
设备指纹是根据你手机的硬件和软件特征生成的唯一标识,比如手机型号、操作系统版本、屏幕分辨率、MAC地址等。 就算你卸载APP再重装,设备指纹也不会变。
常见应用: 反欺诈系统、异常登录检测、设备绑定。
四、最后总结
- Cookie:服务器给你的纸质会员卡,存在你钱包里
- Session:服务器自己的会员记录本,你只需要报会员号
- Token:你自己带的电子通行证,有防伪二维码
- 动态口令:一次性的验证码,只能用一次
- 数字证书:最安全的电子身份证,相当于U盾
所有这些技术,本质上都是为了解决一个问题:让服务器在互联网这个”没记性”的世界里,认出你是谁。
「倬其安」分享一线实战中的故障洞察与架构思考。
提升安全认知,筑牢防护体系!
“倬其安,然无恙”。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:倬其安 Hash先生 Hash先生《除了Cookie/Token/Session,一文看懂所有关于身份标识的秘密》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论