复习常见的几种 客户端和服务端之间进行用户认证/会话管理的不同机制
客户端跟服务器交互的时候,需要让服务器直到用户具体是谁,所以有Cookie Seesion、Token的认证机制
对于有多个子系统的情况,如果让用户体会到不同系统服务之间的无缝的身份验证,需要单点登录(Single Sign-On ,SSO)这种安全认证机制
Cookie
主要包含用户的一些状态信息, 通过交互Cookie信息,浏览器可以保持状态信息,服务器也知道用户是谁
Session
cookie保存在客户端,包含大量信息,如果这些信息存储在服务端,只需要用一个key来获取,会更方便。
服务器为每个登录的用户创建一个唯一的session对象,并将其ID(即session ID)通过cookie或URL重写等方式传递给客户端。当客户端发起新的请求时,会携带session ID回来,服务器根据此ID查找对应的session数据来识别用户身份及恢复其会话状态。
相比直接在客户端cookie中