本文介绍了Cookie、Session和Token的概念、工作原理及它们之间的区别。Cookie是保存在客户端的数据,用于识别用户身份,但存在体积限制和安全性问题。Session则将用户信息存储在服务器,减少Cookie负担,但可能增加服务器内存压力。Token作为无状态的验证方式,解决了扩展性和安全性问题,适用于多平台跨域场景,通常配合Refresh Token使用以避免频繁登录。
Cookie
Cookie 的工作原理
由于 HTTP 是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证,这样服务器就能从通行证上确认客户身份了,这就是cookie, cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie 的保存时间,可以自己在程序中设置。如果没有设置保存时间,应该是一关闭浏览器,cookie 就自动消失。
Cookie 实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个 Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该 Cookie 一同提交给服务器。服务器检查该 Cookie,以此来辨认用户状态。服务器还可以根据需要修改 Cookie 的内容。
注意:Cookie 功能需要浏览器的支持。如果浏览器不支持 Cookie(如大部分手机中的浏览器)或者把 Cookie 禁用了,Cookie 功能就会失效。不同的浏览器采用不同的方式保存 Cookie。IE 浏览器会以文本文件形式保存,一个文本文件保存一个 Cookie。
Cookie的不可跨域名性
Cookie 具有不可跨域名性,根据 Cookie 规范,浏览器访问 Google 只会携带 Google 的 Cookie,而不会携带 Baidu 的 Cookie,浏览器判断一个网站是否能操作另一个网站 Cookie 的依据是域名。
好的,现在来举例理解cookie
其工作机制为:
以加入购物车为例,每次浏览器请求后 server 都会将本次商品 id 存储在 Cookie 中返回给客户端,客户端会将 Cookie 保存在本地,下一次再将上次保存在本地的 Cookie 传给 server 就行了,这样每个 Cookie 都保存着用户的商品 id,购买记录也就不会丢失了
仔细观察上图相信你不难发现随着购物车内的商品越来越多,每次请求的 cookie 也越来越大,这对每个请求来说是一个很大的负担,我只是想将一个商品加入购买车,为何要将历史的商品记录也一起返回给 server ?购物车信息其实已经记录在 server 了,浏览器这样的操作岂不是多此一举?怎么改进呢
通过session,即把一些公用的信息放在服务器上,比如用户id等
Session
仔细考虑下,由于用户的购物车信息都会保存在 Server 中,所以在 Cookie 里只要保存能识别用户身份的信息,知道是谁发起了加入购物车操作即可,这样每次请求后只要在 Cookie 里带上用户的身份信息,请求体里也只要带上本次加入购物车的商品 id,大大减少了 cookie 的体积大小,我们把这种能识别哪个请求由哪个用户发起的机制称为 Session(会话机制),生成的能识别用户身份信息的字符串称为 sessionId,而sessionId其实是通过cookie的形式储存的,它的工作机制如下
补充一下,关于如何知道某个用户会话对应的哪个session呢?其实就是通过session的sessionid来找到的,在底层实现中,服务器sever通过Map(即key-value)来储存session的,key是sessionid,而value储存的是session引用的对象,通常来说,用户的id等信息储存
最低0.47元/天 解锁文章
206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
