1、传统的cookie认证过程
长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull)
,也就是服务端和客户端都需要保存生成的session
,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下:
- 客户端登陆,一般输入用户名和密码
- 服务端如果验证通过,就会生成session,并把它存入数据库中
- 客户端在浏览器上会产生cookie,并把session_id写入
- 客户端后续有新的请求,都会在请求后携带sessIon_id,发给服务端
- 如果客户端登陆出去(log out),该生成的session就会在服务端都被销毁,session_id在客户端也会被清除