首先,Cookie的传递过程:
client发送http请求给server,server响应,并set-cookie头部信息,client保存cookie,之后的请求中服务端都会附带cookie头部信息, 使用cookie可以自动填写用户名、记住密码等。
但是,用户名密码等重要隐私存在cookie中还是会有风险。所以产生了session。cookies中会保存sessionid
Session
但是,session信息存到服务器过多会占用内存。为了提高效率,通常需要分布式做负载均衡。在认证的信息保存在内存中,用户访问那台服务器下次还得访问相同的机器才能获取授权,并且sessionid存在cookie还是会有风险,比如跨站请求伪造等
如何解决这个呢?token出现了
token不需要再存储用户信息,可以节约内存,其次,由于不存储信息,客户端访问不同的服务器也能进行鉴权,增加了拓展能力。然后token可以采用不同的加密方式进行加密,提高了安全性。
token传递过程和cokies类似,只是传递对象编程了token,用户使用用户名、密码请求服务器后,服务器生成token,再响应中返给客户端。客户端再次请求时就会带上token,服务器就可以用这个token认证鉴权。token可以解决session的问题,但是在认证token的时候还需要取数据库查询认证信息。
为了不查库直接认证,JWT出现了
JWT翻译是json web token,当用户发送带有登录详细信息的用户身份验证请求时,服务器将以JSON WEB TOKENS(JWT)的形式创建一个加密的令牌,并将其发送回客户端。当客户端收到令牌时,这意味着该用户以通过身份验证,可以使用客户端执行任何活动。
json对象存储包括:header(token)、payload传输内容、singature签名把header和payload用base64编码后再加上secrect私钥。 JWT通常存储在客户端的localstorage中
其他
Cookie 和 Session 的区别
- 安全性:Session 是存储在服务器端的,Cookie 是存储在客户端的。所以 Session 相比 Cookie 安全,
- 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
- 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
- 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
