因为 http 是无状态的,所以客户端和服务端需要解决如何让他们之间的对话变得有状态,例如只有登陆状态的用户才有权限调用某些接口,那么在用户登录之后, 需要记住该用户是已经登陆的状态。常见的方法是使用 session 机制,也就是我们现在大多数时候使用的方式。
常见的 session 工作模型是这样的 session 机制
- 用户在浏览器登陆之后,服务端为用户生成唯一的 session id,存储在服务端的存储服务(例如 MySql, Redis)中
- 该 session id 也同时返回给浏览器,以 SESSION_ID 为 KEY 存储在浏览器的 cookie 中
- 如果用户再次访问该网站,前端发送请求的时候带上该 cookie
- 服务端通过判断 SESSION_ID 是否存在来判断用户的登陆状态
所以其实基于 session 的 login 其实就是两步:
- challenge: 校验的过程(证明你是谁)
- 将 sessionid 写入会话
而 logout 其实就是将 session 中的 sessionid 删除,下次请求时,即使带上了相同的 sessionid,服务器校验也不会成功。