- cookie现今的角色主要是作为浏览器存储方案的一种。cookie可用于浏览器本地记住密码的服务。
- session:
(1)浏览器存储session_id(加密),服务器存储用户登录状态的明细表。发送请求时会携带该session_id,在服务器通过验证后可获取用户当前登录状态。
(2)对于支持cookie的浏览器,session_id一般存储在cookie中,发送请求时随cookie发送;对于不支持cookie的浏览器,session_id会使用URL重写技术将session_id组合到URL中:http://www.test.com/test;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
或者表单隐藏技术:<form name="testform" action="/xxx"> <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764″> <input type="text"> </form>
(3)缺点:在服务器维护用户的登录状态增大了服务器的存储压力;服务器在做水平拓展进行负载均衡时,浏览器请求需要发送到含有相应session的服务器上。 - token:
(1)对session的优化,解决服务器水平拓展问题。
(2)安全性更高。token一般记录在浏览器的WebStorage(sessionStorage或localStorage)中,请求时携带在header中。在header中携带token(而不使用cookie)可以有效防止CSRF攻击
(3)token是无状态的,在服务器通过对token进行解密后可以直接获取token对应的user_id以及其登录状态。
web身份验证与会话维持(session、token)
最新推荐文章于 2023-01-16 22:50:13 发布