基于session的登录认证
http是无状态的,传统用户登录方式中采用session方式。用户登录成功后,服务端会创建一个session,返回一个sessionID,客户端将sessionID存在cookie中,每次请求携带这个sessionID。
cookie和session这种方式需要保存在内存中,现在服务(前后分离项目中)会面临session共享的问题,比较大的项目中session会越来越大。
Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。
CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。
CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站
token认证机制
- 适用于项目级的前后端分离(前后端代码运行在不同的服务器下)
token和session的不同主要在于认证成功后,会对当前用户数据进行加密,生成一个加密字符串token。返回给客户端(服务端不进行保存)。
浏览器会将接收到的token值存储在localStorage中,再次访问时服务器对token进行解密处理,如果认证通过在进行访问服务资源。服务不需要去存储认证信息。