目录
1.cookie和session
1.1 实现
当用户登录成功之后, 我们把用户的信息保存到Session中,然后把该SessionId 以Cookie的形式保存到客户端浏览器上, 此后,该用户的所有请求都会把包含SessionId的Cookie带回给服务器, 服务器获取到SessionId, 通过改SessionId得到对应的Session对象, 这样就能获取到该用户登录时存到的信息了。
1.2 使用session存在的问题
(1)每次用户认证通过之后,服务器都需要创建一个Session对象来保存用户的信息,而Session是保存在内存中的,随着认证通过的用户越来越多,服务器保存的session也越来越多,服务器的内存开销也会越来越大;
(2)因为SessionId是基于Cookie来存储的, 如果Cookie被截获,用户就会很容易受到跨站请求伪造的攻击(CSRF攻击);
(3)当我们想要扩展我们的应用,让我们的数据被多个移动设备使用时,我们必须考虑跨资源共享问题。当使用AJAX调用从另一个域名下获取资源时,我们可能会遇到禁止请求的问题(CORS);
(4)在分布式集群系统中, 因为我们的后端应用是多节点部署的,而Session是存储在节点服务器上,这个时候,我们就需要实现Session的共享机制(使用Redis/memcache等缓存技术来存储session).不方便集群应用。
2.JWT
2.1 定义
JWT就是通过json格式作为Web应用程序中的令牌,用于在各方之间安全地将信息以JSON的形式传
最低0.47元/天 解锁文章
649
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
