session:
客户端向服务器发起登录请求,服务器接受请求并验证请求,验证通过,记录用户登录状态并加sessionid(序号之类标识不加了,无实际意义,不含登录信息),然后将sessionid放在响应头返回客户端,浏览器会将sessionid自动记录在cookie中,并且每次客户端再次向服务端发起请求都会自动将其放在请求头,用于验证登录状态。
session测试点:
要考虑有些浏览器(360)或者客户端(火绒)禁用cookie。
性能测试:用户登录状态存储需要占用服务器资源。
token:
客户端向服务器发起登录请求,服务器接受请求并验证请求,验证通过后服务器将客户端发来登录信息按照约定方式(约定拼接以及加密方式)组成token,将token发送给客户端。服务器不记录登录信息通过客户端请求信息携带token鉴权,浏览器不会自动保存token,客户端自己觉得token保存及使用。
token测试点:
安全测试(token加密保存、加密发送、超期机制)。