Session
由于HTTP协议是无状态的协议,大多数情况下服务端都需要知道请求是哪个用户,Session简单说就是用来标识用户请求的,拿着SessionId去访问,告诉服务器我是谁。Session是存放在服务端的,客户端有的只是SessionId。
- sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionid
- session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid
- tomcat的StandardManager类将session存储在内存中,也可以持久化到file,数据库,memcache,redis等
- 客户端只保存sessionid到cookie中,而不会保存session
- session销毁:超时;程序调用HttpSession.invalidate();程序关闭关掉浏览器并不会关闭session。
Cookie
Cookie是客户端(浏览器)保存用户信息的一种机制,用来记录用户的一些信息(用户名密码,记住用户名密码就是这样实现的),每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。SessionId就放在Cookie里面。
Token
令牌,一般是说JWT(JsonWebTokens).用Session的话服务端要保存每个用户的Session,耗费空间。令牌就更适用一些业务场景了。每个用户带上自己的令牌访问,客户端校验令牌,就知道该请求时候合法,用户是谁了。但是更耗费时间。
参考我的博客:JsonWebToken(JWT)设计方案