用户登录:首先用户进行登录操作,用户在登录页面输入用户名和密码,并发送给服务端,服务端验证通过后会生成一份保存用户相关信息的Session数据,同时生成一个对应标识(Session_ID)并写入用户浏览器中的cookie。
请求验证:当用户发请求时会自动携带包含Session_ID的Cookie,然后服务端从Cookie获取Session_ID并验证Session数据是否存在。
认证通过:如果Session数据存在且有效,则服务端认为用户已登录并允许访问请求的资源。
认证失败:如果Session不存在或已过期,服务端会重定向到登录页面。
用户注销:如果用户选择注销,服务端将销毁当前Session,并从Cookie中删除Session ID。
Cookie-Session模式依赖于客户端保存 Cookie,并且在服务端存储用户的Session数据。
Cookie-Session模式弊端:
安全性: Session_ID存储在Cookie中,如果Cookie被窃取,攻击者就可以直接模拟已登录用户。
无法分布式部署:如果服务器分布在多台机器上,Session_ID就无法在不同机器间共享。
性能问题: 每次请求都要从服务器中查询Session,频繁请求时可能导致服务器负载过大。
存储限制: Session ID一般是4KB的,如果需要存储的数据过大,就需要使用其他存储方式,比如数据库。
当然,如果需要更高的安全性和更大的存储容量,建议使用其他认证方式,例如JWT、OAuth等。