1.前言:
- 存在问题:发现没有登录仍然可以进入到后端管理系统页面。
- 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
- HTTP协议()无状态协议):所谓无状态,指的是每一次请求都是独立的,下一次请求并不会携带上一次请求的数据。而浏览器与服务器之间进行交互,基于HTTP协议也就意味着现在我们通过浏览器来访问了登陆这个接口,实现了登陆的操作,接下来我们在执行其他业务操作时,服务器也并不知道这个员工到底登陆了没有。因为HTTP协议是无状态的,两次请求之间是独立的,所以是无法判断这个员工到底登陆了没有。
- 登录校验:-具体的实现思路可以分为两部分:
- 在员工登录成功后,需要将用户登录成功的信息存起来,记录用户已经登录成功的标记。
- 在浏览器发起请求时,需要在服务端进行统一拦截,拦截后进行登录校验。
首先我们开发的项目一般不会只部署在一台服务器上.
负载均衡服务器:将前端的请求均匀的分给不同的服务器
如果出现了单点故障,一旦服务器挂了整哥应用就没法访问了.现在企业中一般是集群的方式进行部署.由负载均衡服务器转给不同的服务器.所以在服务器集群环境下无法直接使用Session
2.Cookie和Sessiond的区别:
- Cookie是客户端浏览器用来保存服务端数据的一种机制,当我们通过浏览器进行网页访问的时候,服务器可以把某一下状态的数据 以key-value 的形式写入到Cookie里面存储到客户端浏览器.
这样客户端下次访问服务器的时候,可以携带这些状态数据,发送到服务器端.服务器端可以根据Cookie里面携带的内容,去识别使用者
- Session表示一个会话,属于服务端的一个容器对象.默认情况下,它会针对每一个浏览器的请求Servlet容器都会分配一个Session对象.
因为Http协议是一个无状态的协议,所以服务器端并不知道客户端发送过来的多个请求属于同一个用户.所以Session是用来弥补Http无状态的一个不足.简单的说服务器端可以利用Session来存储在同一个会话里面产生多次请求的一个记录
工作原理:当客户端第一次访问服务器的时候,服务器端会针对这次请求创建一个会话,并且生成一个唯一的SessionId,来标注这个会话,然后服务器端会把这个SesionId写入到客户端浏览器的Cookie中,用来实现客户端状态的一个保存,在后续的请求里面每一次都会携带SessionId,服务器端就可以根据SessionId来识别当前这个会话的状态
总得来看: Cookie是客户端的存储机制 而Session是服务端的存储机制,Session又是基于Cookie
3.Cookie和Session的比较:
4.令牌技术:解决集群环境下的认证问题
解决方案:令牌技术
简单的说就是用户身份的标识,其本质就是一个字符串
令牌的形式有很多:JWT只是令牌技术的一种 JSON Web Token
JWT:将原始的JSON格式数据进行了封装
在服务器端不需要存储数据,所以减轻了服务器端存储压力.令牌存储在客户端
- 令牌生成:登录成功后,生成JWT令牌,并且返回给前端
- 令牌校验:在请求到服务端后,对令牌进行统一拦截,校验
用户在登录成功后,系统会自动下发JWT令牌,然后再后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为 token,值为登录时下发的JWT令牌
如果检测到用户未登录,则会返回固定错误信息
JWT:只是生成token的一种方式
16万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
