关于token,看了一些blog。但似乎看到的都是一样的结论,比session更安全,比session应用更方便。但真正看到他们的文章却缺失对这些特性的分析理解,人云亦云罢了。
谈到安全问题,我不知道把token存在cookie里面又有什么安全可言。也许你会觉得我只是把token存储在cookie里面,访问的时候会将该token取出来,放在header里面,再发起请求。这样就不会每次请求主动携带cookie的信息,造成挟持。ok,如果你这么理解,那当我没说。
唯一让我觉得token比session优秀的地方,大概也就是多服务的情况下,我依旧可以使用相同的token,而不用像session一样,得使用类似于储存在某一个特定的数据库这样的方法,才能保持session的一致。除了这一点(当然,这一点很重要),我并不清楚token在安全方面有多少值得说的地方,而且,我并没有看到对于篡改token会造成何种影响的解释。也就是说,如果token可以篡改,那么这种篡改过程是如何实现的。这样也可以帮我们更好的理解token为什么更加安全,但并没有发现有相关的解释。