为什么选择 token 的方式而不用 session?

最新推荐文章于 2024-05-31 21:13:06 发布
最新推荐文章于 2024-05-31 21:13:06 发布
阅读量3.8k 收藏 1
点赞数 2
分类专栏: Token Session 文章标签: django python 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44994331/article/details/122110331
版权

首先我们看一下基于 session 的登陆会遇到什么问题。

  • 我们可能有多个后端

    • 比如现在的 XX项目,有多个后端:3 个 django 后端,1 个 java 后端。 只有一个前端,后端都是在同一个域名下,所以前端发送给后端的 sessionid 其实都是一样的,那么为了实现共享登陆的状态,必须实现多服务器共享 session.那么如何实现多服务器共享 session?
    • 解决 session 的共享的方案通常是把这个 sessionid 存储在 cache(对外暴露的是键值对的形式),比如第三方存储系统 redis,Django 中在 settings.py 中配置 SESSION_ENGINE = ‘django.contrib.sessions.backends.cache’
    • 对于都是 Django 的后端,其实问题不大,因为 sessionid 在存储的时候,都是经过编码过的,编码的原因主要是因为数据都有自己的数据结构,而存储可能需要按照一定的格式,Django 在存储的时候是将 sessionid 经过 base64 转码转成 pickle 格式,而 java 是不认识 pickle 格式的(或者说我们没必要去实现这个功能的),所以一般情况下,Java 是没办法和 python 共享 session 的。

  • 我们可能有多个前端(其实这一块没有太明白)

    • 多个前端,域名不一样,发送请求的时候没办法带上 cookie,用不同的架构(小程序,ios 等),需要模拟浏览器发请求的方式,每次发送请求时,从数据库中取出 cookie 带上,还是不太方便。

基于 session 的局限性,考虑使用 token 来实现验证。 token 验证大体分三步:

  • 后端生成 token
  • 校验 token 是否是自己签发
  • 校验 token 中的信息
是小Q呀~
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于SessionToken、JWT怎么选?
天罡gg的专栏
03-29 4867
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
sessiontoken鉴权方式
weixin_40611700的博客
10-19 1162
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
Tokensession的区别
飞扬的博客
06-08 643
其实session认证只是完成sessionID信息的存储操作,只是相对安全而已。session实现是一种简单认证方式,只要存在sessionID,即可得到用户的全部权限。2.session是依赖链路层来提高通信安全,而token是通过身份认证方式,对请求进行签名从而防止监听或重放攻击等,所以它们两者并不冲突。如果需要实现有状态,可以添加session在服务器端来完成状态保存操作。1.session是有状态化,会记录并存储会话信息,token是无状态化的,不会存储会话信息。
微服务环境下sa-token session同步
c_afield的博客
04-04 699
微服务是分布式的实现,网关和授权服务分别是两个独立的服务,查看官方文档,我们应该实现分布式session的同步,引入官方的redis依赖,并且两个服务都需要引入,自此sa-token框架会帮我们在redis中同步session,不需要你做更多的操作,这里注意的是网关gateway采用的webflux框架,不同于授权服务的springboot框架,引入的sa-token依赖是不同的,官网也指出了这一点。,并且后续想要在网关进行权限验证,就必须获得当前请求会话中登录的id去数据库查询对应的角色权限。
Session不香吗,为什么还要Token
qq_30597401的博客
05-24 1496
上周我们在团队内部首次采用了 jwt(Json Web Tokentoken 这种 no-session方式来作用户的账号验证。 图片来自 Pexels 我发现网上很多文章对 token 的介绍有误,所以对 cookie,sessiontoken 作了一下对比(文中 token 指 jwt token)相信大家看完肯定有收获! Cookie 1991 年 HTTP 0.9 诞生了,当时只是为了满足大家浏览 Web 文档的要求 ,所以只有 GET 请求,浏览完了就走了,两个连接之间是..
使用Token而不是Session
zhangjunwen6666的博客
03-01 180
扩展性(Scalability):Token可以很容易地实现分布式系统的扩展,因为Token本身就是无状态的,可以方便地在不同的服务器之间共享验证信息。跨平台性(Cross-platform):Token可以在不同的平台上使用,比如Web、移动应用、第三方平台等,而Session通常依赖于浏览器的Cookie和服务器端的存储,不太适用于跨平台的场景。无状态性(Stateless):Token是无状态的,服务器不需要在每次请求中保存用户的状态信息,而Session需要在服务器端保存用户的状态信息。
php 不用session,我为什么不使用session_PHP教程
weixin_33229152的博客
03-12 233
在考虑session的问题上,我最终放弃了session:1、原本的session是使用文件来管理的。文件系统的好坏直接影响session的性能,尤其当有几K人同时在线的时候,尤其突出。解决方法有两个:数据库和文件(使用哈希路径)。2、原有session的扩展性和可控制性不好。不利于结合我现有的系统。3、在选用数据库的时候,我并没有选择sqlite,上次我测试sqlite效率在win xp上效率没...
cookie和sessiontoken,为什么选择使用token?JWT使用
A-Itfuture的博客
09-22 2027
每一次请求都需要token。客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。如果计算后的签名和带来的签名相同, 就知道用户已经登录过了,并且可以直接取到的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证。
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、SessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Session+Redis,Token+Redis,JWT+Redis,用户身份认证,到底选择哪种更合适?
最新发布
Java程序员专栏
05-31 1097
选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
彻底理解cookie,sessiontoken的使用及原理
10-16
最后,token还具有跨域调用的特点,适合于微服务或前后端分离的架构,因为不同的服务可以独立验证token,而无需共享session存储。 总的来说,cookie、sessiontoken都是现代Web应用中不可或缺的技术,它们各自具有...
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 1040
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
token代替session使用
Chelio_的博客
11-17 1968
1.面临问题: session存在于服务端,分布式中多个微服务,每个微服务都是独立的服务器,session信息不同步,该怎么办? 2.解决思路 token替代session使用流程: 1.用户登录成功 生成token存入redis(key:token,value:用户信息);把token返回给前端 2.将token加入header,使用过滤器,在每个接口执行前验证token是否有效,无效返回登录页 3.微服务中如果想获取登录的用户信息,可以获取redis的key=token token + redi
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 1750
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
一篇带你搞懂SessionToken的区别,大数据时代下为什么会产生token
qq_53999369的博客
07-10 3936
因为网络http是,这样就无法确定你的本次请求和上次请求是不是一个人发送的,所有需要session来验证信息。 浏览器第一次访问服务器,服务器会创建一个session,同时为该session生成一个唯一的会话,也就是。然后将sessionid及对应的session分别作为保存到缓存中,也可以持久化到数据库或者redis中。浏览器下次在访问时,会带着cookie中的sessionid,然后服务器根据sessionid找到对应的session进行匹配。 首先,session的存储是需要空间的
tokensession其实并无本质区别
热门推荐
认知 行动 坚持
09-18 1万+
在之前的博文中, 我们介绍过, token是一个令牌, 是一个象征, 可以用token来标志一次登录, 它是一个票据, 维护一段会话。         我们再看看session, 其实, 很多时候, 它也是登录态的一种标志, 维护一次会话。         见多了, 就知道了, 其实是概念不同而已, 不要被概念绕晕。 后台负责下发和管理这些东东。
sessiontoken 比较,各自的优缺点, cookie进行存储
qq_43631129的博客
03-07 1357
sessiontoken 比较,各自的优缺点, cookie进行存储
RESTful,在不用session的情况下做用户认证
bluesky
07-26 963
最近在研究restful,在restful协议中,强调不使用session,但可以少量使用cookie。以保持restful的无状态性。 但是在实际使用中,有一个最大的问题,就是当应用需要用户登陆认证时,应该怎么处理。 在这里我的处理方法主要是把用户登陆后,把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token,写入cookie,然后在需要认证的应用时,由php等程序读取...
用了这么久,tokensession的区别,你真的清楚了吗?
文章中资料均可获取,有需要请添加yunduoa2019即可
08-01 160
sessiontoken都是用来保持会话,功能相同 一、session机制,原理 session是服务端存储的一个对象,主要用来存储所有访问过该服务端的客户端的用户信息(也可以存储其他信息),从而实现保持用户会话状态。但是服务器重启时,内存会被销毁,存储的用户信息也就消失了。 不同的用户访问服务端的时候会在session对象中存储键值对,“键”用来存储开启这个用户信息的“钥匙”,在登录成功后,“钥匙”通过cookie返回给客户端,客户端存储为sessionId记录在cookie中。当客户端.
为什么用token不用session
03-23
作为一个AI语言模型,我可以给出以下原因: 1. 无状态性:Token是无状态的,它不需要在服务器端存储任何信息,因此可以减轻服务器的负担。而Session需要在服务器端存储用户的信息,因此会占用服务器的资源。 2. 跨域支持:Token可以在不同的域之间传递,而Session只能在同一域内使用。 3. 扩展性:Token可以很容易地扩展到多个服务器上,而Session需要在所有服务器上共享状态。 4. 安全性:Token可以使用加密算法进行加密,从而保证数据的安全性。而Session容易受到会话劫持和跨站点脚本攻击等安全问题的影响。 总之,使用Token可以提高应用程序的性能和安全性,特别是在分布式系统中。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值