起因于http是无状态的,每次进行请求的时候不知道你是谁
1、Cookie
最开始,Cookie是由浏览器在在第一次访问这个网页的时候,将用户名、密码保存到浏览器中,当浏览器再次访问这个网站的时候,就会带上用户名、密码,即不需要自己再次输入。
tips:
- 每次输入完账号、密码,提示你进行保存就是Cookie的保存
- 这是不安全的,当电脑被入侵的时候,你的账号和密码就泄露了
2、Session
处于Cookie的安全问题,当浏览器第一次访问网站,输入账号、密码的时候,服务器中校验账号、密码后,会保存一个Session (通常是由Session ID + 会话的时间),这个Session会发给浏览器,这样浏览器就会把Session存为Cookie,这个时候就不会保存账号和密码了,不会造成隐私的泄露;当再一次登录到浏览器,会带上Session进行访问,服务器会根据Session的比对,判断你当前是哪一个用户;
tips:
- 解决了Cookie隐私泄露的问题
- 但是所有的Session存在了服务端,会造成服务端内存的消耗:大量用户的场景不行
- sessionId一般是随机的,uuid之类的;服务器存储id的时候,也会存储对应的这个人的id
- 分布式redis可以做分布式session
3、Token
通常实现由JWT来完成,当用户进行网站登录的时候,服务端通常会使用jwt(json web token)去生成一个token,然后返回给网页,进行cookie的保存;当再次进行该网站的访问的时候,带着这个token,在服务端那里做验证。
tips:
- 服务端如何根据这个token判断出来是哪个用户的?加密和反加密的过程;jwt通过用户名和密码等等信息去生成,这是签名的过程;token解析成账号和密码这是解密的过程;
- token的本质是通过secret_key(类似salt)进行加密、解密,secret_key不可进行泄密,如果泄密了,就可以破解token拿到账号、密码
总结
- 本质上其实都没有绝对的安全,各有各的好处;当小批量的用户,使用cookie + session就够用了,也不会占用很多的服务器的内存空间;
- 对于用户较大,就可以使用jwt去生成token返回就可以了;
- 如果考虑分布式,其实可以使用redis的分布式session;同时多机使用jwt的token也可以;
参考视频:Cookie、Session、Token究竟区别在哪?如何进行身份认证,保持用户登录状态?_哔哩哔哩_bilibili