为什么要有session,cookie,token的出现?
答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求和上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。
cookie 机制:
cookie并不是虚无缥缈的东西,它只是一个存储方式是通过扩展http协议来实现的. 浏览器访问服务器的时候,服务器会在response header里添加指示浏览器生成cookie的规则,浏览器按照一定的规则在request header里生成cookie并发给服务器,
服务器校验规则,如果校验通过会一直保持会话,cookie机制采用的是在客户端保持状态的方案.
session 机制:
session机制采用的是在服务端保持状态的方案,把数据保存在服务器里而cookie 是把数据保存在客户端里,
服务器保存的数据会自动生成一个sessionID 也就是我们说的key给客户端, session ID 可以保存在cookie里,URL ,POST data里也行.
如果下次访问 客户端会把session ID 发给服务端进行匹配,如果校验通过会保持回话.
总结:
举个例子:
张三如果想取钱,可以通过 两个方式 1. cookie 2. session
1.如果想通过cookie 的方式 就是需要拿着存折 里面有详细的信息,余额和取款信息都可以看到
2.如果想通过session 的方式 就是拿着一个银行卡,里面有个卡号进行取钱,里面的信息进行了隐藏.
将登陆信息等重要信息存放为SESSION,这就是安全的问题.
其他信息如果需要保留,可以放在COOKIE中,
Token 机制:
有了sesion 和cookie 为什么也要有token 呢?
答: session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面.
**产生过程:**浏览器第一次访问服务器,根据传过来的唯一标识(比如userID),服务端会通过一些算法,如常用的HMAC-SHA256算法,然后加一个密钥,生成一个token,然后通过BASE64编码一下之后将这个token发送给客户端;客户端将token保存起来,下次请求时,带着token,服务器收到请求后,然后会用相同的算法和密钥去验证token,如果通过,执行业务操作,不通过,返回不通过信息.
解释session是空间换时间,而token是时间换空间?
1.session 直接拿sessionID 进行匹配,速度很快,但是token 需要加密解密再验证步骤,速度相对会更慢
2.token 不会再服务器保存数据,能做到真正无状态, 空间节省了不少.
举个例子:
方案 A :我发给你一张身份证,但只是一张写着身份证号码的纸片。你每次来办事,我去后台查一下你的 id 是不是有效。
方案 B :我发给你一张加密真正的身份证,以后你只要出示这张卡片,我就知道你一定是自己人。
就这么个差别。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
