session机制
session是服务端存储的一个对象,主要是用来存储所有访问过该服务端的客户端的用户信息(也可以存储其他信息),从而实现保持用户会话状态。但是服务器重启时,内存会被销毁,存储的用户信息也就会消失了。
不同的用户访问服务端的时候会在session对象中存储键值对,“键”用来存储开启这个用户信息的“钥匙”,在登录成功后,“钥匙”通过cookie放回给客户端,客户端存储为sessionId记录在cookie中。当客户端再次访问时,会默认携带cookie中的sessionId来实现会话机制。
(1) session是基于cookie的。
cookie的数据是4k左右;
cookie存储的数据格式是键值对;
cookie存储的有效期:可以自行通过expires修改具体的日期,如果没有修改,则默认是关闭浏览器则失效。
cookie的有效范围:当前域名下有效。所以session这种会话存储方式只适用于客户端代码和服务器代码运行在同一台服务器上(即同源条件)。
(2)session持久化
用于解决重启服务器后session消失的问题。在数据库中存储session,而不是存储在内存中。通过包:express-mysql-session。
当客户端存储的cookie失效后,服务端的session不会立即销毁,会有一个延时,服务端会定期清理无效session,不会造成无效数据占用储存空间的问题
token机制
适用于前后端分离项目(即不同源条件)
请求登录时,token和sessionId的原理相同,是对key和key对应的用户信息进行加密后的加密字符,登录成功后,会在响应主体中将{token:“字符串”}返回给客户端。
客户端通过cookie都可以进行存储,再次请求时不会默认携带,需要在请求拦截器位置给请求头中添加认证字段Authorization携带token信息,服务器就可以通过token信息查找用户登录状态。