cookie-session机制的缺点
- 如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失,因为session默认存放在一个服务器内存中。
- 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。过多的Session存储在服务器内存中,会对服务器造成压力。
- 如果浏览器不支持cookie,cookie-session机制便无法使用。
- cookie存在跨域的限制。
tocken机制流程
- 当用户登录成功之后, 服务器端就会通过指定算法生成一个 token,过期时间48h,可以将token 存储在redis,再将这个token值返回给客户端;
- .客户端拿到 token 值之后,进行保存;
- 当客户端调用接口请求数据时,就会携带token值发送给服务器;
- 服务器接收到客户端的请求之后,会取出token值与保存在redis中的token值做对比。
- 如果token对比成功,说明用户处于登录状态,否则表示登录状态失效,需要用户重新登陆。用户每次重新登陆会刷新token的过期时间。
tocken的优点
- session是需要空间进行存储的,如果是多服务器session需要同步信息,但是token在服务器是可以不需要存储用户信息的。
- token可以使用浏览器的localStorge等,APP也可以使用自带数据库存储字符串。且不会出现cookies出现跨域问题。
- token可以用JWT来携带部分不太敏感的信息比如用户ID等,服务器只要解密token即可使用部分信息。