目录
一、区分session和session的实现方式
本来 session 是一个抽象概念,开发者为了实现中断和继续等一系列操作,将 user agent (客户端)和 server(服务端) 之间一对一的交互,抽象为“会话”,进而衍生出“会话状态”,也就是 session 的概念。
而 cookie 是一个实际存在的东西,存放于客户端,http 协议中定义在 header 中的字段。可以认为是 session 的一种后端无状态实现。
而我们今天常说的 “session”,通常是指session的实现方式,是为了绕开 cookie 的各种限制,通常借助 cookie 本身和服务端存储(默认是文件,数据库和内存也可以)实现的,是一种更高级的会话状态实现。该session实现方式是把session存放于服务端,再把session id保存在cookie中。
二、 cookie和session使用的场景
一般是用户验证的场景,如用户登录状态的维持,用户在某个Web网站登录后,关闭网页后,再打开相同的网页不用重新进行登录
三、关闭浏览器,session和cookie会被销毁吗
关闭浏览器,再打开浏览器,再访问之前的Web网站,一次新的会话就开始了
而cookie的两种存放方式:一种是存在于浏览器的进程中,一种是存在于硬盘上 我们知道session存放在服务端,而当我们关闭浏览器时,cookie若是存在于浏览器的进程中(这种cookie称为会话cookie),该会话cookie立马被销毁
而此时服务器不知道客户端浏览器关闭了还是没有关闭,所以原先的session不会立马被销毁,通常是到了默认的时间才会被销毁。
新的会话开始后,服务器从HttpServletRequest对象(服务器是用Java开发有该对象)中没有检查到session id,服务器会再发送一个新的存有session id的cookie到客户端的浏览器中,此时对应的是一个新的会话
对于相同和不同session(会话)的分类 当在同一个浏览器中同时打开多个标签,发送同一个请求或不同的请求,仍是同一个session 当不同windows窗口中打开相同浏览器时,发送请求,仍是同一个session 当使用不同浏览器时,发送请求,即使发送相同的请求,是不同的session 当把当前某个浏览器的窗口全关闭,再打开,发起相同的请求时,就是本文所阐述的,是不同的session,但是它和session的生命周期(session何时被销毁)是没有关系的。
总结:关闭浏览器再打开某个web应用网站,对应于新的会话,session通常到默认时间才会被销毁,而存放于浏览器进程的cookie会立马销毁。维持一个会话的核心就是客户端的唯一标识,即 session id。
四、token的作用
先了解一下token是什么,token就是服务端生成的一串字符串,生成后返回给客户端,客户端下次请求时会直接在http header字段或者cookie中(注:客户端请求时cookie也是位于http header中)携带token。
token主要有两方面的作用:
1.用于用户身份的验证
先看第一种用法,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
那么token里面的内容是什么呢?token里面可以存放设备的MAC地址,这种情况下,缺点需要在服务器在数据库存储token,优点是用户登录一次后无需再次登录。 也可以存放session id,如果token里面是session id,为了防止伪造token,服务器可以用只有自己知道的密钥和签名算法hmac-sha256做一个签名,加在session id 后面,这样token=session id+ 签名,构造好token发给客户端,客户端发请求时携带该token,服务端收到客户端发来的token后,再用相同的密钥和签名算法对token中的session id做一次签名,验证该token后的签名和自己做的签名是否一致即可。对于token还有许多种验证方法,也有很多标准,其中一套标准,叫做JWT。这种情况服务端无需存放token,但是会话结束或者超时后,需要重新登录才能访问数据。
2.防止表单重复提交
这种token的使用场景,需要与session进行配合 防止表单重复提交一般还是使用前后端都限制的方式,比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,然后客户端和服务端的token各自独立存储,客户端存储在Cookie或者Form的隐藏域,放在Form隐藏域中的时候,需要放在每个表单中,服务端存储在Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中。
具体的流程如下: 客户端初始化的时候,一般就是刚刚进入表单页面页面的时候就调用后端代码,后端代码生成一个token并将该token写入session中,然后将该token返回给客户端,客户端储存token(可以在前台使用Form表单中使用隐藏域来存储这个Token,也可以使用cookie),当客户端提交表单时,就将request(请求)中的token与(session)中的token进行比较,如果一致就把token写入到数据库中(应用于表单更新的场景,方便查询),若表单只需提交一次,则在验证通过后,把session中token进行删除,这时如果有重复的请求到来,需要判断如果用户提交的表单数据中没有token或者session会话没有token,或者存储在session中的token(令牌)与表单提交的token(令牌)不同,则用户是重复提交了表单。由于表单已经成功提交了一次,session中的token已经被删除,所以一定会提示用户重复提交。
五、token较session的优势
1.占用空间
token和session都可以用于用户验证场景,但是session必须要存放于服务端,而token可以不用存放在服务端。
2.无状态
并且客户端存放token是无状态。基于无状态和不存储session,负载均衡器能将用户信息从一个服务器传到其他服务器上
而如果将已经验证的用户信息保存在session中,则每次请求都需要向已经验证的服务器发送验证消息,用户量大会发送拥堵
3.安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。
即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。
4.可扩展性
Tokens能够创建与其它程序共享权限的程序。 例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。
当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。
使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。
5.多平台跨域
我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。
Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.
只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。
六、总结
Session 是一种能力:是服务器见鬼说鬼话,见人说人话的能力。
Token 是一个字符串凭证:和你的各种证件一样功能的凭证,JWT 恰好是其中一种格式。
Cookie 是一种载体,装载着你的个人物品,是浏览器中的一个存储技术:历史很久了,不用这个也可以。
以上连起来就是,你从自己的小钱包(Cookie) 里掏出了身份证(Token),递给了窗口(服务器)里面,从而达成了一种Session 能力。
206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
