【全栈】cookie、session、token 发展史与请求响应鉴权

谦卑的虫:
所以token就像cookie一样每次请求都会带上去访问服务器，只不过cookie是明文存在前端的，token是经过加密的，所以更安全，存在前端后端都可以。这样理解对吗？

【回复】回复 @诺言星空 : cookie 和 token 都可以被截获啊。不存在 cookie 是明文，token 是加密过这种说法
【回复】回复 @诺言星空 :token也是明文传递的 随便截
【回复】理解错了啊，token其实是签名，确定这个令牌没有被修改，是服务器生成的
是笑杨呀:
这样看token是不是就有更高的反爬能力呢？ 可以说一下再头部Authentication设置token和在set-cookie里设置token（虽然好像一般不会这么做）的区别吗。为什么要把token设置在authenticaton头部而不设置在cookie里

【回复】没有区别，也不存在说 cookie 更不安全这种说法
【回复】某些非浏览器的http客户端一般不设置cookie相关
【回复】因为cookie不安全，也不是100%确定浏览器的cookie功能会被开启还是禁掉
Erichyd:
前端禁用cookie的话，session和token也无法实现吧？

【回复】回复 @Erichyd :session依赖cookie token不依赖 你可以把token放在cookie里也可以放在请求头里
【回复】回复 @Erichyd :无论是token还是session在前端本质上就是一段字符串，无非是性质上密文和key的区别，session依赖于cookie只是一种做法而已，用别的方式一样可以传输，session在前端就是个key
【回复】回复 @大丈夫die_job :为啥不会，正如视频中所说，token和session需要以cookie的形式存在前端中。
代码失格:
在做 sso 的时候一个 site A 登录后拿到了 access token，现在要 redirect 到另一个 site B 的时候，可以直接用 query parameters 吗？同事让我不要这样做，因为这样不安全，我的理由是这两个 site 都是我们自己的系统，直接 redirect 应该也没什么问题。想咨询下前辈怎么看？如果不用 query parameters 还有哪些方案呢？

【回复】回复 @晴空覆雪 :你同事所谓的不安全，我的理解，是说通过 url 里面包含 query parameters 的方式来传递 token 这种敏感信息，会泄露。这个确实是存在的。 替代方案是，如果 sita a redirect 到 site b，这两个 site 最好的共域的，这样安全性会高一些。 另外，从前端的角度看，用户侧的浏览器，虽然从 site a 重定向到了 site b，但是用户的浏览器页面（tab）还是同一个页面（tab）。这时候，local storage 还是可以用的。token 应该可以放在 local storage 由 a 和 b 共享。
Oneharma:
通透，从别的视频过来，确实清楚不少。

风铃1103:
这个后端项目可以共享学习吗？谢谢，最近在雪nest

【回复】回复 @林饕___ :后面我查一下，不涉及其他实际项目的，会逐步分享。
【回复】回复 @全栈码叔 : 蹲一个，会分享吗？
【回复】回复 @全栈码叔 :求一个前端网站后台管理模板
一枕风露:
理清概念了后感觉能串起来了 感谢up[doge]