session和token都是使服务器能够识别客户端的一种机制。
当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。
需要注意的是:
1.session数据包括用户的各种信息,而客户端存储的仅仅是sessionid,所以客户端传来的sessionid并不包含用户信息,需要在服务端通过sessionid去查找对应的session数据,其中才包含客户信息。
2.session数据是存储在服务器内存中而不是数据库(硬盘)中,这就有一个问题,如果服务器是在分布式或者集群中,session信息存储在服务器A中,而用户下次访问可能会被定向至服务器B,但服务器B中的内存并没有存储用户的信息,那么会判定用户非法。
token与session的不同主要在用户第一次登录认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存,浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带),再次访问时服务器端对token值的处理:服务器对浏览器传来的token值进行解密,解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,所以,即使有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。
可见token有一个很好的地方:token实际上就是把用户数据加密然后传给客户端,这样客户端到时候传输的数据中就包含了加密的用户数据,这样服务器端接受到用户数据后可以直接从数据库中查找。
2995
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
