每天努力一点点,坚持下去 ------ 博客首页

Token和session以及Cookie的理解及使用【转】

最近项目中有用到Token和Session,但是我对此不是很理解,所以特地整理下学习笔记,已便自己查看,也可以帮助到更多跟我一样有疑惑者。

一、我们先解释一下他的含义:

          1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。

          2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

          3、使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

 了解了Token的意义后,我们就更明确的知道为什么要用他了。

 二、如何使用Token?

          这是本文的重点,在这里我就介绍常用的两种方式。

          1、用设备号/设备mac地址作为Token(推荐)

           客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。

           服务端:服务端接收到该参数后,便用一个变量来接收同时将其作为Token保存在数据库,并将该Token设置到session中,客户端每次请求的时候都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行,不同则拒绝。

           分析:此刻客户端和服务器端就统一了一个唯一的标识Token,而且保证了每一个设备拥有了一个唯一的会话。该方法的缺点是客户端需要带设备号/mac地址作为参数传递,而且服务器端还需要保存;优点是客户端不需重新登录,只要登录一次以后一直可以使用,至于超时的问题是有服务器这边来处理,如何处理?若服务器的Token超时后,服务器只需将客户端传递的Token向数据库中查询,同时并赋值给变量Token,如此,Token的超时又重新计时。

          2、用session值作为Token

          客户端:客户端只需携带用户名和密码登陆即可。

          服务端:服务端接收到用户名和密码后并判断,如果正确了就将sessionID作为Token返回给客户端,客户端以后只需带上sessionID请求数据即可。

          分析:这种方式使用的好处是方便,不用存储数据,但是缺点就是当session过期后,客户端必须重新登录才能进行访问数据。

三、使用过程中出现的问题以及解决方案?

          刚才我们轻松介绍了Token的两种使用方式,但是在使用过程中我们还出现各种问题,Token第一种方法中我们隐藏了一个在网络不好或者并发请求时会导致多次重复提交数据的问题。该问题的解决方案:将session和Token套用,如此便可解决,如何套用呢?请看如下解释:

  session是一个在单个操作人员整个操作过程中,与服务器端保持通信的唯一识别信息。在同一操作人员的多次请求中,session始终保证是同一个对象,而不是多个对象,因为可以对其加锁。当同一操作人员多个请求进入时,可以通过session限制只能单向通行。通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。

四、Cookie:

Cookie其实还可以用在一些方便用户的场景下,设想你每次登陆过一个网站,下次登陆的时候不想输入账号了,怎么办?这个信息可以写到Cookie中去,访问网站的时候,网站页面的脚本可以读取这个信息,就自动帮你把用户名给填了,能够方便一下用户。

注解:Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方法。

 

 

参考资料:

原文链接:http://wyong.blog.51cto.com/1115465/1553352

posted @ 2022-01-09 21:42  他还在坚持嘛  阅读(186)  评论(0编辑  收藏  举报