【 Web认证 】Cookie、Session 与 JWT Token：Web 认证机制的原理、实现与对比

---

本项目演示了三种常见的web认证方式：cookie认证、session认证和jwt token认证。通过spring boot后端和vue3前端的实现，展示了不同认证机制的工作原理和使用场景。

## 目录结构```plainauth-demo/├── backend/ # Spring Boot后端项目│ ├── src/main/j*a/com/example/authdemo/│ │ ├── controller/ # 控制器│ │ ├── model/ # 模型│ │ ├── config/ # 配置│ │ └── util/ # 工具类│ └── pom.xml # M*en配置├── frontend/ # Vue3前端项目│ ├── src/│ │ ├── components/ # 组件│ │ ├── services/ # API服务│ │ └── App.vue # 主应用│ └── package.json # NPM配置└── README.md # 本文档```

## 1. Cookie认证### 1.1 工作原理

☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜

Cookie认证是一种基于客户端存储的认证机制，主要通过以下步骤工作：

1. **登录过程**： - 用户提交用户名和密码 - 服务器验证凭据 - 验证成功后，生成会话ID - 服务器将会话ID通过`Set-Cookie`响应头设置到客户端Cookie中 - 会话ID与用户信息的映射存储在服务器端2. **请求验证**： - 客户端发起后续请求时，自动在请求头中携带Cookie - 服务器从Cookie中提取会话ID - 服务器验证会话ID的有效性 - 如果会话ID有效，服务器识别用户身份并处理请求3. **登出过程**： - 客户端发起登出请求 - 服务器从存储中删除会话ID - 服务器设置Cookie的过期时间为0，使Cookie失效

### 1.2 代码实现#### 后端实现**CookieAuthController.j*a**

```j*apackage com.example.authdemo.controller;

import com.example.authdemo.model.User;import jakarta.servlet.http.Cookie;import jakarta.servlet.http.HttpServletRequest;import jakarta.servlet.http.HttpServletResponse;import org.springframework.web.bind.annotation.*;

import j*a.util.HashMap;import j*a.util.Map;import j*a.util.UUID;

@RestController@RequestMapping(\"/api/cookie-auth\")@CrossOrigin(origins = \"http://localhost:5174\", allowCredentials = \"true\")public class CookieAuthController {

// 模拟用户数据库 private static final Map\u003cString, User\u003e users = new HashMap\u003c\u003e(); // 模拟会话存储 private static final Map\u003cString, String\u003e sessions = new HashMap\u003c\u003e();

static { // 预创建测试用户 users.put(\"admin\", new User(\"admin\", \"password\", \"ADMIN\")); users.put(\"user\", new User(\"user\", \"password\", \"USER\")); }

@PostMapping(\"/login\") public Map\u003cString, String\u003e login(@RequestBody User user, HttpServletResponse response) { // 验证用户 User storedUser = users.get(user.getUsername()); if (storedUser != null \u0026\u0026 storedUser.getPassword().equals(user.getPassword())) { // 生成会话ID String sessionId = UUID.randomUUID().toString(); // 将会话ID与用户名关联 sessions.put(sessionId, user.getUsername()); // 创建Cookie Cookie cookie = new Cookie(\"sessionId\", sessionId); cookie.setPath(\"/\"); cookie.setHttpOnly(true); cookie.setMaxAge(3600); // 1小时有效期 // 添加Cookie到响应 response.addCookie(cookie); Map\u003cString, String\u003e result = new HashMap\u003c\u003e(); result.put(\"message\", \"Login successful\"); result.put(\"username\", user.getUsername()); return result; } Map\u003cString, String\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Invalid username or password\"); return error; }

@PostMapping(\"/logout\") public Map\u003cString, String\u003e logout(HttpServletRequest request, HttpServletResponse response) { // 获取Cookie中的会话ID Cookie[] cookies = request.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { if (\"sessionId\".equals(cookie.getName())) { // 从会话存储中移除 sessions.remove(cookie.getValue()); // 使Cookie失效 cookie.setPath(\"/\"); cookie.setMaxAge(0); response.addCookie(cookie); break; } } } Map\u003cString, String\u003e result = new HashMap\u003c\u003e(); result.put(\"message\", \"Logout successful\"); return result; }

@GetMapping(\"/profile\") public Map\u003cString, Object\u003e getProfile(HttpServletRequest request) { // 验证Cookie中的会话ID Cookie[] cookies = request.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { if (\"sessionId\".equals(cookie.getName())) { String username = sessions.get(cookie.getValue()); if (username != null) { User user = users.get(username); Map\u003cString, Object\u003e profile = new HashMap\u003c\u003e(); profile.put(\"username\", user.getUsername()); profile.put(\"role\", user.getRole()); profile.put(\"authenticated\", true); return profile; } } } } Map\u003cString, Object\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Not authenticated\"); error.put(\"authenticated\", false); return error; }}```

#### 前端实现**api.js**

```j*ascriptexport const cookieAuthApi = { // 登录 login: async (username, password) =\u003e { return await api.post('/cookie-auth/login', { username, password }, { withCredentials: true // 允许携带cookie }); }, // 登出 logout: async () =\u003e { return await api.post('/cookie-auth/logout', {}, { withCredentials: true }); }, // 获取用户信息 getProfile: async () =\u003e { return await api.get('/cookie-auth/profile', { withCredentials: true }); }};```

### 1.3 优缺点**优点**：

+ 实现简单，无需客户端特殊处理+ 自动管理，浏览器自动携带Cookie+ 可以设置HttpOnly标志，提高安全性

**缺点**：

+ 受同源策略限制+ 服务器需要存储会话状态，不利于水平扩展+ 可能存在CSRF攻击风险

## 2. Session认证### 2.1 工作原理Session认证是基于服务器端存储的认证机制，Spring Boot默认提供了Session支持：

1. **登录过程**： - 用户提交用户名和密码 - 服务器验证凭据 - 验证成功后，创建HttpSession对象 - 将用户信息存储在Session对象中 - 服务器自动设置JSESSIONID Cookie到客户端2. **请求验证**： - 客户端发起请求时携带JSESSIONID Cookie - 服务器根据JSESSIONID查找对应的HttpSession对象 - 如果Session存在且有效，从Session中获取用户信息3. **登出过程**： - 客户端发起登出请求 - 服务器调用session.invalidate()使Session失效 - JSESSIONID Cookie也会相应失效

### 2.2 代码实现#### 后端实现**SessionAuthController.j*a**

```j*apackage com.example.authdemo.controller;

import com.example.authdemo.model.User;import jakarta.servlet.http.HttpSession;import org.springframework.web.bind.annotation.*;

import j*a.util.HashMap;import j*a.util.Map;

@RestController@RequestMapping(\"/api/session-auth\")@CrossOrigin(origins = \"http://localhost:5174\", allowCredentials = \"true\")public class SessionAuthController {

// 模拟用户数据库 private static final Map\u003cString, User\u003e users = new HashMap\u003c\u003e();

static { // 预创建测试用户 users.put(\"admin\", new User(\"admin\", \"password\", \"ADMIN\")); users.put(\"user\", new User(\"user\", \"password\", \"USER\")); }

@PostMapping(\"/login\") public Map\u003cString, String\u003e login(@RequestBody User user, HttpSession session) { // 验证用户 User storedUser = users.get(user.getUsername()); if (storedUser != null \u0026\u0026 storedUser.getPassword().equals(user.getPassword())) { // 将用户信息存储到Session中 session.setAttribute(\"user\", storedUser); session.setMaxInactiveInterval(3600); // 1小时有效期 Map\u003cString, String\u003e result = new HashMap\u003c\u003e(); result.put(\"message\", \"Login successful\"); result.put(\"username\", user.getUsername()); result.put(\"sessionId\", session.getId()); return result; } Map\u003cString, String\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Invalid username or password\"); return error; }

@PostMapping(\"/logout\") public Map\u003cString, String\u003e logout(HttpSession session) { // 使Session失效 session.invalidate(); Map\u003cString, String\u003e result = new HashMap\u003c\u003e(); result.put(\"message\", \"Logout successful\"); return result; }

@GetMapping(\"/profile\") public Map\u003cString, Object\u003e getProfile(HttpSession session) { // 从Session中获取用户信息 User user = (User) session.getAttribute(\"user\"); if (user != null) { Map\u003cString, Object\u003e profile = new HashMap\u003c\u003e(); profile.put(\"username\", user.getUsername()); profile.put(\"role\", user.getRole()); profile.put(\"authenticated\", true); profile.put(\"sessionId\", session.getId()); return profile; } Map\u003cString, Object\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Not authenticated\"); error.put(\"authenticated\", false); return error; }}```

#### 前端实现**api.js**

```j*ascriptexport const sessionAuthApi = { // 登录 login: async (username, password) =\u003e { return await api.post('/session-auth/login', { username, password }, { withCredentials: true }); }, // 登出 logout: async () =\u003e { return await api.post('/session-auth/logout', {}, { withCredentials: true }); }, // 获取用户信息 getProfile: async () =\u003e { return await api.get('/session-auth/profile', { withCredentials: true }); }};```

### 2.3 优缺点**优点**：

+ Spring Boot自动管理，使用简单+ 安全性较高，Session数据存储在服务器端+ 可以存储复杂的用户信息

**缺点**：

+ 服务器需要维护Session状态，水平扩展时需要考虑Session共享+ 受同源策略限制+ 可能存在CSRF攻击风险

## 3. JWT Token认证### 3.1 工作原理JWT (JSON Web Token) 是一种基于Token的无状态认证机制：

Ghiblio

专业AI吉卜力风格转换平台，将生活照变身吉卜力风格照

157 查看详情

1. **登录过程**： - 用户提交用户名和密码 - 服务器验证凭据 - 验证成功后，生成JWT Token（包含用户信息、过期时间等） - 服务器将Token返回给客户端2. **请求验证**： - 客户端将Token存储在localStorage或sessionStorage中 - 发起请求时，在Authorization头中携带Token：`Bearer {token}` - 服务器接收到请求后，验证Token的签名和有效性 - 验证通过后，从Token中提取用户信息3. **登出过程**： - 客户端删除存储的Token - 服务器无需特殊处理（无状态）

### 3.2 JWT Token结构JWT由三部分组成，用点（.）连接：

```plainheader.payload.signature```

+ **Header**：包含Token类型和签名算法+ **Payload**：包含声明（claims），如用户ID、角色、过期时间等+ **Signature**：使用密钥对前两部分进行签名，用于验证Token的完整性

### 3.3 代码实现#### 后端实现**JwtUtil.j*a**

```j*apublic class JwtUtil {

// 生成安全的密钥 private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); private static final long EXPIRATION_TIME = 3600000; // 1小时，单位毫秒

// 生成Token public static String generateToken(String username, String role) { return Jwts.builder() .setSubject(username) .claim(\"role\", role) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SECRET_KEY) .compact(); }

// 验证Token是否有效 public static boolean validateToken(String token) { try { Jwts.parserBuilder() .setSigningKey(SECRET_KEY) .build() .parseClaimsJws(token); return true; } catch (Exception e) { return false; } }

// 其他方法...}```

**JwtAuthController.j*a**

```j*apackage com.example.authdemo.controller;

import com.example.authdemo.model.User;import com.example.authdemo.util.JwtUtil;import org.springframework.web.bind.annotation.*;

import j*a.util.HashMap;import j*a.util.Map;

@RestController@RequestMapping(\"/api/jwt-auth\")@CrossOrigin(origins = \"http://localhost:5174\")public class JwtAuthController {

// 模拟用户数据库 private static final Map\u003cString, User\u003e users = new HashMap\u003c\u003e();

static { // 预创建测试用户 users.put(\"admin\", new User(\"admin\", \"password\", \"ADMIN\")); users.put(\"user\", new User(\"user\", \"password\", \"USER\")); }

@PostMapping(\"/login\") public Map\u003cString, String\u003e login(@RequestBody User user) { // 验证用户 User storedUser = users.get(user.getUsername()); if (storedUser != null \u0026\u0026 storedUser.getPassword().equals(user.getPassword())) { // 生成JWT Token String token = JwtUtil.generateToken(user.getUsername(), user.getRole()); Map\u003cString, String\u003e result = new HashMap\u003c\u003e(); result.put(\"message\", \"Login successful\"); result.put(\"username\", user.getUsername()); result.put(\"token\", token); return result; } Map\u003cString, String\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Invalid username or password\"); return error; }

@GetMapping(\"/profile\") public Map\u003cString, Object\u003e getProfile(@RequestHeader(\"Authorization\") String authorizationHeader) { // 检查Authorization头 if (authorizationHeader == null || !authorizationHeader.startsWith(\"Bearer \")) { Map\u003cString, Object\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Authorization header is required\"); error.put(\"authenticated\", false); return error; } // 提取token String token = authorizationHeader.substring(7); // 验证token if (JwtUtil.validateToken(token)) { String username = JwtUtil.getUsernameFromToken(token); String role = JwtUtil.getRoleFromToken(token); Map\u003cString, Object\u003e profile = new HashMap\u003c\u003e(); profile.put(\"username\", username); profile.put(\"role\", role); profile.put(\"authenticated\", true); return profile; } Map\u003cString, Object\u003e error = new HashMap\u003c\u003e(); error.put(\"message\", \"Invalid token\"); error.put(\"authenticated\", false); return error; }

@GetMapping(\"/validate\") public Map\u003cString, Boolean\u003e validateToken(@RequestHeader(\"Authorization\") String authorizationHeader) { Map\u003cString, Boolean\u003e result = new HashMap\u003c\u003e(); if (authorizationHeader == null || !authorizationHeader.startsWith(\"Bearer \")) { result.put(\"valid\", false); return result; } String token = authorizationHeader.substring(7); result.put(\"valid\", JwtUtil.validateToken(token)); return result; }}```

#### 前端实现**api.js**

```j*ascriptexport const jwtAuthApi = { // 登录 login: async (username, password) =\u003e { return await api.post('/jwt-auth/login', { username, password }); }, // 获取用户信息 getProfile: async (token) =\u003e { return await api.get('/jwt-auth/profile', { headers: { 'Authorization': `Bearer ${token}` } }); }, // 验证token validateToken: async (token) =\u003e { return await api.get('/jwt-auth/validate', { headers: { 'Authorization': `Bearer ${token}` } }); }};```

**authStorage.js**

```j*ascript// 认证存储管理export const authStorage = { // 保存JWT token s*eToken: (token) =\u003e { localStorage.setItem('jwt_token', token); }, // 获取JWT token getToken: () =\u003e { return localStorage.getItem('jwt_token'); }, // 移除JWT token removeToken: () =\u003e { localStorage.removeItem('jwt_token'); }, // 其他方法...};```

### 3.4 优缺点**优点**：

+ 无状态，服务器不需要存储会话信息，便于水平扩展+ 支持跨域，不依赖Cookie+ 自包含，Token中包含所有必要信息

**缺点**：

+ Token一旦签发，无法直接撤销（除非服务端维护黑名单）+ Token可能较大，增加请求大小+ 需要客户端手动管理Token的存储和发送

## 4. 三种认证方式的比较| 特性 | Cookie认证 | Session认证 | JWT Token认证 || --- | --- | --- | --- || 存储位置 | 客户端Cookie | 服务器Session + 客户端Cookie | 客户端localStorage/SessionStorage || 状态管理 | 有状态 | 有状态 | 无状态 || 跨域支持 | 不支持 | 不支持 | 支持 || 水平扩展 | 困难 | 需要Session共享 | 简单 || 安全性 | 中等 | 高 | 高 || 实现复杂度 | 简单 | 简单（Spring Boot自动支持） | 中等 || 适合场景 | 简单的Web应用 | 传统Web应用 | 前后端分离、微服务、移动应用 |

## 5. 安全最佳实践### 5.1 Cookie安全+ 设置HttpOnly标志，防止XSS攻击获取Cookie+ 设置Secure标志，确保只通过HTTPS传输+ 设置SameSite属性，防止CSRF攻击+ 使用较短的过期时间

### 5.2 Session安全+ 使用强随机数生成Session ID+ 限制Session的生命周期+ 登出时立即销毁Session+ 考虑使用Redis等进行Session共享

### 5.3 JWT安全+ 使用强密钥并定期轮换+ 设置合理的过期时间+ 敏感信息不放入Payload（因为Payload可以被解码）+ 使用HTTPS传输Token+ 实现Token刷新机制

## 6. 运行项目### 6.1 后端运行

cd auth-demo/backendmvn spring-boot:run

### 6.2 前端运行

cd auth-demo/frontendnpm installnpm run dev

### 6.3 测试账号+ 用户名: admin, 密码: password (管理员权限)+ 用户名: user, 密码: password (普通用户权限)

## 7. 总结三种认证方式各有优缺点，选择哪种方式应该根据具体的应用场景：

+ **Cookie认证**：适合简单的Web应用，实现简单但扩展性有限+ **Session认证**：适合传统的Web应用，Spring Boot原生支持，安全性较高+ **JWT Token认证**：适合前后端分离、微服务架构和移动应用，无状态设计便于扩展

在实际项目中，还可以根据需要结合使用这些认证方式，例如使用JWT进行API认证，同时使用Session管理一些临时状态。

以上就是【 Web认证 】Cookie、Session 与 JWT Token：Web 认证机制的原理、实现与对比的详细内容，更多请关注其它相关文章！

# vue  # web认证  # cook  # vue3  # go  # json  # 前端  # js  # redis  # java  # word  # javascript  # 建设网站需要电脑配置  # 芜湖网站首页推荐优化  # 南充企业网站怎么建设  # 三只松鼠营销推广方案结束语  # 品牌营销策划与推广方案  # 北面营销推广活动是什么  # 河南营销型网站建设价格  # 咸宁白酒网站推广价格  # 海外批发seo运营  # 节庆营销推广方案设计  # 高阶  # 移除  # 不支持  # 较高  # 是一种  # 三种  # 工作原理  # 后端  # 一言  # 客户端 

相关栏目： 【 Google疑问12 】 【 Facebook疑问10 】 【 优化推广96088 】 【 技术知识133117 】 【 IDC资讯59369 】 【 网络运营7196 】 【 IT资讯61894 】

相关推荐： 万兴播爆桌面端上线，支持AI数字人搜索、视频编辑等功能  消息称苹果 iPhone 15 系列健康应用将深度融合 AI 技术  大厂出品！这个AI网站太顶了，所有功能免费用  映宇宙集团执行总编辑：元宇宙还是要以人为媒介  AI新视野，增长新势能，伙伴云受邀出席笔记侠创业讲真话AI峰会  外科医生的智能助手，“机器人手术”得到补充商业医保覆盖  AI与5G的强强联合：唤醒数字时代的无尽潜能  华为昇腾AI原生支持30多种基础大模型，包括GPT  业内领先 四川大学华西第四医院甲状腺乳腺外科成功进入手术机器人时代  新闻传闻：迪士尼可能采用人工智能来控制电影制作成本  Meta推出VR订阅服务Quest +：每月免费玩两款游戏，7.99美元/月  亚马逊确认今年不会举办 re:MARS 机器人和人工智能大会  报道称亚马逊正在测试AI生成产品评价摘要  AI智能室内效果图设计软件效果，确实惊到我了！  能走、能飞、能游泳，科学家打造全能 M4 机器人  微幼科技晨检机器人与人工晨检相比，有何优势  谷歌新安卓机器人logo曝光：头更大了  机器人 展才能  给小朋友最好的科技礼物：乐天派桌面机器人  2025 年开发者必须知道的六个 AI 工具  360°/180°双模式，佳能公布可折叠小体积的VR全景相机  华为即将推出HarmonyOS 4，再度领先行业的AI技术  复旦发布「新闻推荐生态系统模拟器」SimuLine：单机支持万名读者、千名创作者、100+轮次推荐  OpenAI 引入个性化指令功能，消除对话中的重复偏好与信息  马斯克回应人工智能拯救世界：人类已处于“半机器人”状态  2025年深圳举办的SUSECON 创新峰会开始接受报名  扎克·施奈德新片《月球叛军》曝剧照 机器人首度现身  马斯克嘲讽人工智能：机器学习本质就是统计学  首个算网生态体！中国移动元宇宙产业联盟正式成立  速途网络成立“人工智能专家委员会”5位中美博士加盟  「社交达人」GPT-4！解读表情、揣测心理全都会  水路两栖艇、消防灭火机器人……这个展览“黑科技”抢眼  鸿蒙OS 4将实现AI大模型集成，余承东表示坚持AI辅助而非AI取代  “智能体动作生成技术”现身WAIC：游戏AI技术为机器人科创注入新动力  大模型新品出现井喷，AI产业迎来新时代  黄仁勋：5年前，我们对AI抱有巨大期望  IBM 与 NASA 携手开源地理空间 AI 模型，促进气候科学研究进步  AI 作画工具 Midjourney 推出“pan”功能，可平移扩展图片外场景  零数科技CTO兰春嘉：区块链与人工智能的结合点在数据  人工智能的变革之路：通过OpenAI的GPT-4漫游  AIGC 风潮刮到游戏产业，巨人网络与阿里云达成“游戏 +AI ”合作  抛媚眼给瞎子看？微软、谷歌的AI广告被广告主抵制  人工智能即将进入Windows：企业准备好安全策略设置了吗?  实现MySQL数据锁定策略：解决并发冲突的J*a解决方案  英国前首相：AI可能被用来制造“生物恐怖武器”  阿里云推出通义万相AI绘画大模型  “聚智启新，‘蓉’力同行” 成都市人工智能产业融通对接会成功举办  李开复官宣新公司「零一万物」，进军 AI 2.0  深圳人工智能企业超1900家  挤爆服务器，北大法律大模型ChatLaw火了：直接告诉你张三怎么判 

 2025-12-01