流程:
session,注册登录->服务端将user存入session->将sessionid存入浏览器的cookie->再次访问时根据cookie里的sessionid找到session里的user;
token,注册登录->服务端将生成一个token,并将token与user加密生成一个密文->将token+user+密文数据 返回给浏览器->再次访问时传递token+user+密文数据,后台会再次使用token+user生成新密文,与传递过来的密文比较,一致则正确。
注:上文中得token里保存的用户信息,一般不会包含敏感信息。
区别:
一个是服务器随机生成的字符串,一个是加密信息+用户信息+服务器根据密钥加密后的字符串;
session_id服务器要存数据,token服务器不需要存数据;
token:客户端向服务器发请求,服务器验证之后,根据客户端选择的加密方式,用户名还有一大堆信息,用自己的密钥加密生成token,这个token本质是一个字符串,然后返回给客户端,如果用JWT实现,大概长这个样,header.payload.signature,header里存加密方式,payload存用户名还有一些其他信息,signature是将header.payload加密后生成的字符串。以后客户端向服务器发送这个token就可以了,服务端对header.payload进行加密,然后和signature对比,如果一样就OK,服务器只需要存一个密钥就好了,不需要对每个会话都存.