现在一般使用比较多的认证方式有四种:
- Session
- Token
- SSO单点登录
- OAtuth登录
1.Cookie + Session
Cookie与Session是Web开发中常用的两种机制,用来处理持久化数据和用户认证等问题。
存储位置:
- Cookie:保存在客户端浏览器中,作为浏览器的一部分。
- Session:保存在服务器端,一般存储在内存或者数据库中。
数据存储:
- Cookie:以键值对的方式存储的小型文本信息。
- Session:以键值对的方式存储,可以存储各种类型的数据,包括整型、字符串、对象等。
安全性:
- Cookie:由于保存在客户端,可能被他人篡改或者窃取,存在一定的安全风险。
- Session:保存在服务器端,对客户端不可见,相对安全。
生命周期:
- Cookie:可以设置过期时间,可以在一段时间内保持持久化,也可以设置为会话Cookie,在会话结束后失效。
- Session:默认在关闭浏览器后失效,但可以通过设置session的过期时间来延长其有效期。
资源消耗:
- Cookie:由于在客户端存储,对服务器端来说不会占用过多的资源。
- Session:由于在服务器端存储,会占用服务器的内存和存储空间。
综上所述,Cookie适用于存储较小的数据,比如用户标识等,而Session适用于存储较大的、敏感的数据,比如用户的登录信息、购物车等。在实际应用中,Cookie与Session可以结合使用,共同完成用户认证和数据存储的功能。
每个Cookie都有自己的域名、路径和过期时间等属性,服务器端会根据请求的域名和路径,选择合适的Cookie进行处理。具体是哪个Cookie会被发送给服务器,取决于服务器需要的Cookie条件和Cookie的属性设置。
最常见的就是 Cookie + Session 认证。
cookie只是session的一种实现方式。
Session,是一种有状态的会话管理机制,其目的就是为了解决HTTP无状态请求带来的问题。
当用户登录认证请求通过时,
服务端会将用户的信息存储起来,并生成一个 SessionId 发送给前端,前端将这个 SessionId 保存起来
。之后前端再发送请求时都携带 SessionId,服务器端再根据这个 SessionId 来检查该用户有没有登录过。这个
SessionId, 一般是保存在Cookie中
。
如果用户第一次访问某个服务器时,服务器响应数据时会在响应头的 Set-Cookie 标识里将Session Id 返回给浏览器,浏览器就将标识中的数据存在Cookie中。
@RestController
@RequestMapping("/user")
public class UserController {
@PostMapping("/login")
public String login(@RequestBody User user, HttpSession session) {
if ("admin".equals(user.getUsername()) && "admin".equals(user.getPassword())) {
// 登录成功 写入Session
session.setAttribute("sessionId", user);
return "login success";
}
return "username or password incorrect";
}
@GetMapping("/logout")
public String logout(HttpSession session) {
// 注销 删除Session
session.removeAttribute("sessionId");
return "logout success";
}
@GetMapping("/api")
public String api(HttpSession session) {
// 用户操作 判断是否登录
User user = (User) session.getAttribute("sessionId");
if (user == null) {
return "please login";
}
return "return data";
}
}
response.addCookie方法和HttpSession.setAttribute方法之间有几个主要的差异:
作用范围:addCookie方法主要用于将一个Cookie对象添加到响应中,将其发送给客户端进行保存。而setAttribute方法是将一个属性添加到当前会话的HttpSession对象中,用于在会话范围内保存数据。
生命周期:Cookie对象可以通过设置不同的有效期来设置其生命周期,可以是临时的或者是持久