Http协议无状态性:不记录用户行为状态,每次请求独立。
而在要求客户端和服务器动态交互的Web应用程序中,就需要保持HTTP连接状态。
Cookie:通过客户端保持状态
用户提交自己个人信息到服务器,服务器返回相应的超文本和个人信息(存在Resonse Header);
客户端收到后会存放在自己这里,然后下次请求把Cookie放到Request Header里向服务器发送请求
Session:通过服务器保持状态
服务端为客户端开辟的空间,保存用于保持状态的信息。
在Java中是通过调用HttpServletRequest的getSession方法创建session。
在创建了Session的同时,服务器会为该Session生成唯一的Session id,而这个Session id在随后的请求中会被用来重新获得已经创建的Session;这个Session id也会被发送到客户端,客户端靠Session id到服务器找Session
token令牌
通过身份认证而获得字符串凭证、可用于在一定时间内请求一些权限需要才能获取的资源。
用户输入用户名和密码,发送给服务器。
服务器验证用户名和密码,正确的话就返回一个签名过的token(token 可以认为就是个长长的字符串),浏览器客户端拿到这个token。
后续每次请求中,浏览器会把token作为http header发送给服务器,服务器验证签名是否有效(一般需要查询数据库)。
如果有效那么认证就成功,可以返回客户端需要的数据。 特点: 这种方式的特点就是客户端的token中自己保留有大量信息,服务器没有存储这些信息。
token与session和cookie没有关系,只是在有些业务需求上可能需要联系。
JWT(JSON WEB TOKEN)
json格式传输token,将权限验证等数据用json格式传到客户端存储。在服务器生成token时进行了加密