几句话说清session,cookie和token的区别及说明
一、cookie和session实际上是同一套认证流程,相辅相成
cookie保存在客户端
(通常保存session的sessionID,这个sessionID是一个毫无规则的随机数,由服务器在客户端登录通过后随机生产的。
客户端每次访问该网站都要带上这个由sessionID组成的cookie。
服务器收到请求,首先拿到客户端的sessionID,然后从服务器内存中查询它所代表的客户端(用户名,用户组,有哪些权限等)。)
session保存在服务器
(用于记录客户状态,比如我们经常会用session保存客户的基本信息、权限信息等)
二、token则可以服务器完全不用保存任何登录信息
客户端可以将Token保存到任何地方,无限制,无状态,利于分布式部署。
整体的流程是这样的:
- 客户端使用用户名、密码做身份验证;
- 服务端收到请求后进行身份验证;(也可能是统一登录平台、网关)
- 验证成功后,服务端会生成一堆客户端身份信息,包括用户名、用户组、有那些权限、过期时间等等。这个整体就叫做token。签发一个Token后返回给客户端;
- 客户端收到Token以后可以把它存储起来(可以放在随意的数据库中,例如Redis);每次向服务端发送请求的时候,都要带着Token;
- Token会有过期时间,过期后需要重新进行验证;
- 服务端收到请求,会验证客户端请求里面的Token,验证成功,才会响应客户端的请求;
三、为何诞生这些
由于HTTP无状态的特性,如果要实话客户端和服务器端的会话保持,那就需要其它机制来实现,于是Cookie和Session应运而生。
Session和Cookie机制来保持会话,会存在一个问题:客户端浏览器只要保存自己的SessionID即可,而服务器却要保存所有用户的Session信息,这对于服务器来说开销较大,而且不利用服务器的扩展(比如服务器集群时,Session如何同步存储就是个问题)!
于是有人思考,如果把Session信息让客户端来保管而且无法伪造不就可以解决这个问题了?进而有了Token机制。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
Spring Cloud-Feign服务调用的问题及处理方法
Feign 是一个声明式的 REST 客户端,它用了基于接口的注解方式,很方便实现客户端配置。接下来通过本文给大家介绍Spring Cloud-Feign服务调用,需要的朋友可以参考下2021-10-10JDK1.6“新“特性Instrumentation之JavaAgent(推荐)
这篇文章主要介绍了JDK1.6“新“特性Instrumentation之JavaAgent,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-08
最新评论