1、身份验证的由来
由于HTTP请求是无状态的,所以服务器根本无法知道是谁请求的。例如购物车,无法确定是谁买了什么东西,这样就需要一个会话标识(session id),这样能确定谁是谁了。
2、token基本理解
首先token和session性质一样,用于客户端和服务器端进行用户身份验证用的。但token有几点好处:
1)session占内存
如果用户量大的情况下(上千万的用户),需要把每个用户的信息放到session中,这样服务器的压力很大,非常消耗内存(虽然有句话叫 这是一个内存越来越便宜的时代~)。token不需要保存什么信息,当然token是支持保存的。
2)多系统无法保证session共享(其实这个事单点已经帮忙做了)
现在流行的集群部署、微服务,会分为很多系统。系统与系统之间无法实现session共享的情况下,难道每次请求都要重新登录吗?这样,就有人想到可以把session的信息放到一个服务器上去管理,但如果这台服务器挂掉了,就凉了。同样,还用说可以集群部署,但一个小小的session没必要这么麻烦。(另外集群部署的时候,ngix帮你做了session的共享)
3)安全性好一点
当用户登录的时候,服务器端会生成一个session_id,通过cookie传输到客户端中保存下来。通过cookie就能拿到你的session_id,这样如果你登录了银行系统,别人可能会通过解析cookie拿到一些信息,很不安全。
所以用token很不错,至于很多人(包括我)做的项目暂时没有用到token,我个人觉得是因为系统本身就小,不需要什么集群、微服务,另外用户量也不多,毕竟杀鸡焉用牛刀。
3、token的大体流程
这里,客户端也可以理解为前台,好理解吧。
一般客户在前台登录,我们把用户名和密码传到服务器端进行校验。如果校验成功了后,服务器端会根据HMAC-SHA256 算法和秘钥生成一个签名的token,并返回给客户端存起来(我们是存储在sessionStorage中)。这样客户端在发送请求的时候,带着token(token在头信息里)去服务器端,服务器端就根据相同的算法和秘钥再做一次签名,然后和这次传递的token带的签名做比较,如果一样就可以进行数据库的交互返回给客户端了(这也就是有的博客中提到的用cpu时间换内存空间,session就是用空间换时间)。
参考博客:https://www.cnblogs.com/moyand/p/9047978.html (个人感觉讲的非常好,直接明了,简单易懂。skr~skr~)
4234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
