有状态(Session) VS 无状态(Token)

于 2024-10-04 19:10:39 发布
阅读量1.3k 收藏 19
点赞数 35
分类专栏: JAVA 文章标签: token session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujinwei_gingko/article/details/142700147
版权

目录

概念

JWT

Token在项目中使用

概念

有状态和无状态服务是两种不同的服务架构,两者的不同之处在于对于服务状态的处理。

1、有状态服务
是指程序在执行过程中生成的中间数据,服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息。示意图如下:

上图中,浏览器客户端请求后台数据,通过nginx负载均衡到3个tomcat服务器上,并且将Session信息保存在redis中,下一次客户端发送请求时,服务器检查session信息是否存在、是否有效、是否过期,检查无问题后,接受客户端请求并返回数据到客户端。此种情况为有状态,即服务端保存了客户信息(session中的信息)。

2、无状态服务。
是指容器在运行时,不在容器中保存任何数据,而将数据统一保存在容器外部。服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的、并且可以被所有请求所使用的公共信息。

上图中,浏览器客户端请求后台数据时,携带了token信息,nginx负载均衡到tomcat服务器上,服务器通过解密token,判断用户的请求是否有效(用户是否登录,是否过期,token是否伪造),对真实有效的token,服务端接受客户端请求并返回数据到客户端。此种情况为无状态,即服务端没有保存客户信息。

3、有状态、无状态比较

特点有状态无状态
优点

服务端控制状态,方便处理

比如设置Session过期时间;

强制设置Session下线

无存储,简单方便

去中心化(有状态下session集中存放Redis)

缺点服务端存储了客户信息,增加服务器压力                        服务器控制能力弱

技术趋势:新架构的项目往往采用无状态模式

JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。前两部分需要经过 Base64 编码,后一部分通过前两部分 Base64 编码后再加密而成。

JWT组成:Header + Payload + Signature

Header:头部用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等,如{"type":"JWT","alg":"HS256"},Base64 加密header后的字符串为(JWT官网 可以验证):eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload:一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。如:{"id":"1","name":"张三","sex":"male"},Base64 加密Payload后的字符串为(JWT官网 可以验证):eyJpZCI6IjEiLCJuYW1lIjoi5byg5LiJIiwic2V4IjoibWFsZSJ9

Signature:这个部分需要 Base64 加密后的 header 和 Base64 加密后的 payload 使用 “.” 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 salt组合加密,然后就构成了 jwt 的第三部分。如:salt设置为abc,Signature字符串为:mZKsezNd5e5Q0Gi4vdeyEH3-ilxG_qEHkZp0gn7ayr0

综上,公式如下:

Token = Base64(Header).Base64(Payload).Base64(Signature)

Signature = Header指定的签名算法(Base64(header).Base64(payload),秘钥)

生成后的token信息为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjEiLCJuYW1lIjoi5byg5LiJIiwic2V4IjoibWFsZSJ9.mZKsezNd5e5Q0Gi4vdeyEH3-ilxG_qEHkZp0gn7ayr0

Token在项目中使用

使用场景:在实际开发中,用户登录成功后,后端生成 jwt 返回给前端,之后前端与后端交互时携带 jwt 信息,让后端验证 jwt 的合法性。使用步骤如下:

1、添加依赖pom.xml

主要依赖:jsonwebtoken

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.6</version>
        <relativePath/>
    </parent>

    <groupId>com.gingko</groupId>
    <artifactId>springboot</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot</name>

    <dependencies>
        <!-- 依赖spring-web-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- springboot默认数据源(HikariCP)-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <!-- mysql驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.16</version>
        </dependency>
        <!-- 整合MyBatis -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
           <version>3.4.2</version>
        </dependency>
        <!-- SpringBoot 的AOP实现 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <!-- junit 依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
        <!-- SpringBoot 健康检查 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <!-- lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.0</version>
            <scope>provided</scope>
        </dependency>
        <!-- jwt token -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.10.7</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.10.7</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.10.7</version>
            <scope>runtime</scope>
        </dependency>
        <!-- fastjson -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.83</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.1</version>
                <configuration>
                    <source>${maven.compiler.source}</source>
                    <target>${maven.compiler.target}</target>
                    <encoding>${project.build.sourceEncoding}</encoding>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

2、token生成工具类【JWTUtils】

属性:密钥secret、token过期时间(秒)expireTimeSeconds 来自配置文件application.yml:

package com.gingko.common;

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.tomcat.util.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Slf4j
@RequiredArgsConstructor
@Component
public class JWTUtils {

    /**
     * 秘钥
     */
    @Value("${JWT.secret}")
    private String secret;
    /**
     * 有效期,单位秒
     * - 默认2周
     */
    @Value("${JWT.expireTimeSeconds}")
    private Long expireTimeSeconds;

    /**
     * 从token中获取claim
     *
     * @param token token
     * @return claim
     */
    public Claims getClaimsFromToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(this.secret.getBytes())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException | UnsupportedJwtException | MalformedJwtException | IllegalArgumentException e) {
            log.error("token解析错误", e);
            throw new IllegalArgumentException("Token invalided.");
        }
    }

    /**
     * 获取token的过期时间
     *
     * @param token token
     * @return 过期时间
     */
    public Date getExpirationDateFromToken(String token) {
        return getClaimsFromToken(token)
                .getExpiration();
    }

    /**
     * 判断token是否过期
     *
     * @param token token
     * @return 已过期返回true,未过期返回false
     */
    private Boolean isTokenExpired(String token) {
        Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    /**
     * 计算token的过期时间
     *
     * @return 过期时间
     */
    private Date getExpirationTime() {
        return new Date(System.currentTimeMillis() + this.expireTimeSeconds * 1000);
    }

    /**
     * 为指定用户生成token
     *
     * @param claims 用户信息
     * @return token
     */
    public String generateToken(Map<String, Object> claims) {
        Date createdTime = new Date();
        Date expirationTime = this.getExpirationTime();

        byte[] keyBytes = secret.getBytes();
        SecretKey key = Keys.hmacShaKeyFor(keyBytes);

        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(createdTime)
                .setExpiration(expirationTime)
                .signWith(key, SignatureAlgorithm.HS256)
                .compact();
    }

    /**
     * 判断token是否非法
     *
     * @param token token
     * @return 未过期返回true,否则返回false
     */
    public Boolean validateToken(String token) {
        return !isTokenExpired(token);
    }

    /**
     * 测试类
     * @param args
     */
    public static void main(String[] args) {
        // 1. 初始化
        JWTUtils jwtUtils = new JWTUtils();
        jwtUtils.expireTimeSeconds = 1209600L;
        jwtUtils.secret = "abcdefghijklmnopqrstuvwxyzgingkoabcdefghijklmnopqrstuvwxyz";

        // 2.设置用户信息
        HashMap<String, Object> objectObjectHashMap = new HashMap<>();
        objectObjectHashMap.put("id", "1");
        objectObjectHashMap.put("name", "张三");

        // 测试1: 生成token
        String token = jwtUtils.generateToken(objectObjectHashMap);
        // 会生成类似该字符串的内容:eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi5byg5LiJIiwiaWQiOiIxIiwiaWF0IjoxNzI4MDE1NzkzLCJleHAiOjE3MjkyMjUzOTN9.2aLCkg0LpoPZXMyK_VfmGHuDcZB3oLQdFQOg6nfOAnA
        System.out.println("token:" + token);

        // 测试2: token合法且未过期,返回true,上面生成的token
        String someToken = "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi5byg5LiJIiwiaWQiOiIxIiwiaWF0IjoxNzI4MDE1NzkzLCJleHAiOjE3MjkyMjUzOTN9.2aLCkg0LpoPZXMyK_VfmGHuDcZB3oLQdFQOg6nfOAnA";
        Boolean validateToken = jwtUtils.validateToken(someToken);
        System.out.println("token是否合法:" + validateToken);

        // 测试3: 获取用户信息
        Claims claims = jwtUtils.getClaimsFromToken(someToken);
        System.out.println("用户信息:" + claims);

        // 测试4: 解密Header,token的第一段(以.为边界)
        String encodedHeader = "eyJhbGciOiJIUzI1NiJ9";
        byte[] header = Base64.decodeBase64(encodedHeader.getBytes());
        System.out.println("header:" + new String(header));

        // 测试5: 解密Payload,token的第二段(以.为边界)
        String encodedPayload = "eyJuYW1lIjoi5byg5LiJIiwiaWQiOiIxIiwiaWF0IjoxNzI4MDE1NzkzLCJleHAiOjE3MjkyMjUzOTN9";
        byte[] payload = Base64.decodeBase64(encodedPayload.getBytes());
        System.out.println("payload:" + new String(payload));

        // 测试6: 这是一个被篡改的token,因此会报异常,说明JWT是安全的
        boolean tokenValidFlag = jwtUtils.validateToken("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi5byg5LiJIiwiaWQiOiIxIiwiaWF0IjoxNzI4MDE1NzkzLCJleHAiOjE3MjkyMjUzOTN9.C2aLCkg0LpoPZXMyK_VfmGHuDcZB3oLQdFQOg6nfOAnA");
        System.out.println("token被修改验证是否有效:" + tokenValidFlag);
    }
}

3、登录请求/toLogin

代码说明:登录成功后,返回前台token信息,前台可以保存token信息,发送其他请求时在请求的header带上token

package com.gingko.controller;

import com.gingko.common.GenericWebResult;
import com.gingko.common.JWTUtils;
import com.gingko.entity.User;
import com.gingko.service.UserService;
import com.gingko.vo.req.UserLoginReq;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;
import java.util.HashMap;
import java.util.Map;

@RestController
@RequestMapping("user")
@Slf4j
public class UserController {

    @Resource
    private UserService userService;
    @Resource
    private JWTUtils jwtUtils;

    @PostMapping("/toLogin")
    public GenericWebResult toLogin(@RequestBody UserLoginReq userLoginReq) {

        GenericWebResult result = null;
        String userId = userLoginReq.getUserId();
        String userPassword = userLoginReq.getUserPassword();
        User userFromDB = this.userService.getByUserId(userId);
        if(userFromDB != null) {
            if(!userPassword.equals(userFromDB.getUserPassword())) {
                result = GenericWebResult.error("用户名或密码不正确");
            }
        }else {
            result = GenericWebResult.error("用户名或密码不正确");
        }
        //生成token并返回到前台
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId",userLoginReq.getUserId());
        String token = jwtUtils.generateToken(claims);
        result = GenericWebResult.ok("登录成功",token);
        return result;
    }
}

4、配置登录拦截器

配置登录拦截器,并注册到webConfig中,拦截除登录之外的所有请求,拦截器中校验请求header中是否存在token及校验token是否合法

package com.gingko.config;

import com.gingko.interceptor.LogInterceptor;
import com.gingko.interceptor.LoginInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

/**
 * web配置类,配置拦截器
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Resource
    private LogInterceptor logInterceptor;//日志拦截器
    @Resource
    private LoginInterceptor loginInterceptor;//登录拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(logInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/test/*");//测试相关的不用日志拦截

        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/user/toLogin");//登录不用拦截
    }
}

package com.gingko.interceptor;

import com.alibaba.fastjson.JSON;
import com.gingko.common.GenericWebResult;
import com.gingko.common.JWTUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

//登录拦截器,校验token是否合法
@Component
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {

    @Resource
    private JWTUtils jwtUtils;
    /**
     * 校验token是否合法
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        log.info("登录校验开始,token:{}", token);
        if (token == null || token.isEmpty()) {
            log.info("token为空,请求被拦截");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            GenericWebResult genericWebResult = GenericWebResult.error("token为空,请求被拦截");
            String resultStr = JSON.toJSONString(genericWebResult);
            response.getWriter().write(resultStr);
            return false;
        }
        Boolean validateToken = null;
        try {
            validateToken = jwtUtils.validateToken(token);
        }catch (Exception e) {
            log.warn( "token无效,请求被拦截" );
            GenericWebResult genericWebResult = GenericWebResult.error("token无效,请求被拦截");
            String resultStr = JSON.toJSONString(genericWebResult);
            response.getWriter().write(resultStr);
            return false;
        }
        if(!validateToken) {
            log.warn( "token无效,请求被拦截" );
            GenericWebResult genericWebResult = GenericWebResult.error("token无效,请求被拦截");
            String resultStr = JSON.toJSONString(genericWebResult);
            response.getWriter().write(resultStr);
            return false;
        }
        return true;
    }
}

5、postman方式测试接口

假设数据库user表存在userId=thunder、密码为123456的记录

模拟其他请求,前台带上正确的token:

模拟其他请求,前台带上伪造的token:

xujinwei_gingko
关注
专栏目录
使用session保持登陆状态
08-13
4. **session过期**:为了防止无限期地保持登录状态和占用服务器资源,session通常会有一个预设的超时时间。一旦超过这个时间用户没有新的请求,session就会被销毁,用户被视为离线。 5. **安全考虑**:使用session...
token的意思
weixin_44236424的博客
07-07 995
token的一些概念
Token认证的未来:无状态身份验证的新趋势
weixin_52533007的博客
08-08 1309
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!Token认证是一种无状态的身份验证机制,用于验证客户端的身份并授权其访问受保护的资源。在Token认证中,客户端通过向身份验证服务器发送身份验证请求来获取一个Token。而后,客户端在后续的请求中,将Token作为凭据携带到服务器进行验证。服务器验证Token的有效性和签名,并根据Token中的信息授权用户访问所请求的资源。
token的有状态和无状态
mywaya2333的博客
02-24 894
简而言之,有状态认证系统依赖于服务器端存储的会话状态来验证用户身份和权限,而无状态认证系统则不依赖于服务器端存储的会话状态,所有的认证信息都被包含在每个请求中。在身份验证和授权领域,"有状态"(stateful)和"无状态"(stateless)通常用来描述系统处理用户认证信息的方式。
状态token方案实现登录和拦截器的设置
qq_52611659的博客
12-08 1090
状态token方案实现登录和拦截器的设置
状态服务与有状态服务
wang_luwei的博客
03-04 1173
状态服务与有状态服务
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
Token登录则是一种无状态的验证方式。用户登录成功后,服务器生成一个唯一的token(通常采用哈希或加密方式)并返回给客户端,客户端可以存储在Cookie或LocalStorage中。每次请求时,客户端在Header中附带token,...
Cookie、SessionToken三者的区别及使用
11-13
- Token: 更加安全,因为它可以通过加密算法保护,而且是无状态的。 - Session: 相对安全,但依赖于服务器的安全配置。 - **适用场景**: - Token: 适用于API认证、移动应用等需要跨域访问的场景。 - Session: ...
彻底理解cookie,sessiontoken的使用及原理
10-16
通过token,用户状态的验证完全转移到了客户端,服务器只需要验证token的有效性,从而解决了session管理的扩展性问题。 在安全性方面,token使用了签名算法,确保了其不会被篡改。例如使用HMAC-SHA256算法对token...
状态token和有状态token
最新发布
m0_65732083的博客
08-28 376
状态token:不包含用户会话信息,每次请求都需要重新验证。适用于分布式系统和微服务架构。有状态token:包含用户会话信息,可以在多个请求之间保持登录状态。适用于需要维护用户会话的应用,如单页面应用。
状态服务(Stateful Service)无状态服务(Stateless Service)
qq_15821487的博客
04-12 1300
状态服务:服务会保持客户端的状态信息,可以根据历史交互提供个性化服务。无状态服务:服务不会保持任何客户端状态信息,每次请求都被视为独立的交互。在实际应用中,选择有状态服务还是无状态服务取决于应用的需求和设计目标。无状态服务通常更容易扩展和维护,因为服务实例之间可以无缝替换,适合高并发和分布式环境。而有状态服务则适合需要维护用户会话和提供个性化体验的场景。让我们通过两个具体的场景例子来说明何时使用有状态服务和无状态服务。有状态服务。
JWT(无状态token)过期自动刷新流程详解
大西瓜超帅
09-07 3174
JWT(无状态token)过期自动刷新 步骤: 通过过滤器拦截用户请求接口、判断header是否携带有token、没有携带的话返回提示直接写入response 响应前端。 携带了token的话我们自定义shiro 用户认证的 UsernamePasswordToken 把前端携带过来的业务访问token(accessToken) 整合成一个 UsernamePasswordToken。 主体提交认证(getSubject(servletRequest,servletResponse).login(cust
基于无状态token刷新机制
weixin_44172434的博客
08-14 5980
近日在捣鼓token的时候遇到了很多问题,一个比较突出的问题就是,token是无状态的,要把它变为有状态的就失去了本来的意义,但是又如何为token做有效期的更新呢?如何让用户每次操作页面的时候token自动更新呢?如何避免用户在操作时不会自动token失效呢? 在查阅了很多的资料后,确定了一个比较合适的方法,使用refresh_token机制,而不是使用session和redis这种标识为有状态...
token解决http无状态问题
Fire_Pot的博客
08-28 1377
概述 http协议是应用层的超文本传输协议,用于客户端和服务器之间的通信,是无状态的,不能识别用户身份和状态 场景需求 需要对用户的登录状态进行验证,如果用户已经登录,允许此用户进行操作,如果用户没有登录,则必须登录后才可操作 cookie技术分析 针对这种需求,cookie和session技术(session基于cookie,下文统称cookie)已经可以满足,但是cookie技术是针...
状态服务和无状态服务
大袤宏图
06-15 397
在设计系统时,选择有状态还是无状态服务取决于业务需求、性能要求、可扩展性和维护成本。无状态服务更容易水平扩展,而有状态服务则需要考虑状态的持久化和同步。如图片、CSS、JavaScript文件的分发,不需要服务端记住任何用户信息。用户登录后,会话信息(如用户ID、权限、购物车内容等)需要在服务端保持状态。提供RESTful API服务,每个请求都是独立的,不需要之前的上下文。用户发起搜索请求,搜索引擎返回结果,不需要记住用户的搜索历史。用户浏览新闻或文章,每次请求都是独立的,不需要服务端状态
大话Session
weixin_30632899的博客
02-19 448
【原创】转载请保留出处:shoru.cnblogs.com 晋哥哥的私房钱 引言 在web开发中,session是个非常重要的概念。在许多动态网站的开发者看来,session就是一个变量,而且其表现像个黑洞,他只需要将东西在合适的时机放进这个洞里,等需要的时候再把东西取出来。这是开发者对session最直观的感受,但是黑洞里的景象或者说session内部到底是怎么工作的呢?当笔者向身边...
状态登录和无状态登录详解
weixin_43811057的博客
02-27 869
接下来如果用户希望访问某些资源,前端要向后端发起一个 HTTP 的请求,同时相应的 Cookie 也会跟随请求一起发送给服务器,而服务器取得 Cookie 以后就会去查找是否有 Session ID ,然后通过 Session ID 提取相应的 Session 来确定用户的身份与权限,如果 Session 与 ID 相符,同时用户的信息也能提供相应的权限,服务器就会认为这个用户已经登录了,随后资源信息就会通过 HTTP 响应给前端。当然也可以使用其他加密方式对用户信息进行加密作为无状态token来使用,
session详解
xianyadong的博客
07-30 3763
session: 一般译作会话,从不同层面看待session,它有着类似但不全然相同的含义。如:从web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用开发者看来,用户登录时我需要创建数据结构以存储用户的登录信息,这个结构也叫作session。因此在谈论session的时候要注意上下文环境。 session一般是在web应用的背景之...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值