授权处理:token和session
1、session服务器认证、授权、鉴权:
cookie + session来做认证
cookie是放在游览器中的
session是保存在服务器的数据库中的
session鉴权处理:self.session = request.session() 直接拿self.session发送请求就好了,无需收到添加cookie
2、token安全令牌机制
token是服务器生成的
游览器接收到相应的报文之后,会将token放在local storage 或者session storage
往往会将token放在请求头中
token鉴权处理:拼接请求头self.header["Authorization"] = "bearer{}".format(token)
3、什么是session认证?认证的过程是怎么样的?什么是token认证?token认证与session认证的区别?
Session:以访问课堂派为例,每次登录服务器时,都会分配一个唯一的session_id, 游览器将session_id存放在Set-cookie当中, 服务器能够根据session_id判断是否登录有过期,如果没有过期,并且用户信息是正确的,就能够通过用户的认证,就具备相应的角色和权限。
Token:游览器通过用户名和密码访问课堂派服务端会对用户进行身份认证,验证成功对用户返回一个token,这个token是存放在请求体当中,会保存在会话存储和本地存储当中,关闭游览器会话存储会清空
token认证服务器不会保存token,再次访问时只会对token中携带的信息进行认证
Session认证服务器会给每一个session分配唯一的sessionid保存在内存或者服务器中,再次访问游览器,
通过cookie和session传给服务器,服务器根据seessionid找到第一次登录时分配的session对象