最近搭建一个后端框架,不知道该不该使用session,值得深入研究下session和token的区别
session和token的抉择
session: 用来保持用户与服务器的会话。浏览器在第一次访问服务器时,服务器会创建一个session,然后同时为该session生成一个唯一的会话sessionid,然后服务器再把sessionid(名字为JSESSIONID的cookie),以cookie形式发送给客户端。浏览器再次访问时会携带cookie中的sessionis,然后服务器根据sessionid找到对应的session进行匹配。
如果浏览器禁用了cookie/不支持cookie,可以通过URL重写的方式发送到服务。
简单的说,session就是个缓存,读取这个缓存的key存在客户端。
token:服务器不去存储用户的信息,一般是前端登录后,后端生成一个标识性字符串(token)给前端,之后前端每次请求都带上这个token,后端通过这个token获取对应的用户信息。
简单的说,token不需要服务器存储用户信息,但是每次要去解析这个token
区别:
session翻译为会话,token翻译为令牌。
session是空间换时间,token是时间换空间。
session和sessionid:服务器会保存一份,可能保存到缓存/数据库/文件。
token:服务器不需要记录任何东西,每次都是一个无状态的请求,每次都是通过解密来验证是否合法。
前后端分离建议使用token,小型的用户登录操作系统建议使用session
引申--选择了token之后 JWT 和 Oauth2的抉择
OAuth2用在使用第三方账号登录的情况(比如使用weibo, qq, github登录某个app)
JWT是用在前后端分离, 需要简单的对后台API进行保护时使用.(前后端分离无session, 频繁传用户密码不安全)
因此,做普通项目的PI开发,用JWT最为合适,后期真的做到了微信那种程度,需要别人到你这来授权登录,在用OAuth2。
使用JWT的建议:
因为JWT的header和payload部分都是可以解密出来的,所以不能放私密信息,所以建议不要放置用户名等信息,可以再用户注册地时候生成一个唯一字符串,作为用户唯一标识uuid,在payload中标识出来,类似于微信的openid。用户从一个客户端登录时,记录下用户的登录时间,精确到毫秒,避免同时点击登录时由于是秒而不能区分不同的客户端。缓存在服务器的时候用uuid作为key,登录时间作为value。客户端调用数据的时候检查登录时间区分不同客户端
扫一扫
470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
