目录
1.认证和授权?
用户身份(Authentication)和用户权限 (Authorization)的区别。
2.Cookie和Session?
都是用来跟踪浏览器用户身份的会话方式。Cookie在客户端保存用户信息,会话cookie自动过期setMaxAge设置会话数据存在时间,大小数量和安全问题20个4k以内。Session默认30分钟有效,setMaxInactiveInterval设置或者部署描述符配置有效期。
- Cookie保存已经登录用户信息,下次访问可自动登录基本信息。(用户个性化设置,主题)......
- Cookie保存 session或者 token,后端取到就能记录用户当前的状态,因为HTTP协议是无状态的。
- Cookie记录和分析用户浏览过程。因为HTTP无状态协议,所以将这些信息存放在 Cookie,看你浏览了啥(商品推荐)。
通过SessionId实现特定用户登录,一般存放在Redis中。用户登录系统后服务器生产并返回给客户端带有sessionid的cookies,然后用户在此向服务器发起请求的时候就会带着这个Cookies(sessionId),这样后端就知道身份了。