打赏

session、token和cookie

HTTP是无状态的,什么叫无状态?意思是HTTP不会记住用户,即使你刚刚才使用账号密码登录过系统,下一次请求,还得再次校验你的身份。

常用做身份校验的方式有session和token,他们有各自的优缺点,可能有人质疑说还有cookie,cookie只是用来存储数据的载体。

session认证机制

认证流程:

  • 用户使用账号密码登录服务器
  • 服务器生成一个session对象和与之对应的sessionid,用来记录用户的会话信息,并将sessionid返回给浏览器,浏览器可以使用cookie、localStorage或sessionStorage存储
  • 浏览器下次向服务器发起请求,带上sessionid
  • 服务器收到sessionid,查看是否存在与之对应的session对象,如果有,认证成功并返回数据,如果没有则要求重新登录

session对象存储在服务器端,客户端登录以后,每次请求只需带上sessionid即可完成身份认证。但是,当服务器采用分布式或集群时,用户在服务器A登录,下次请求到了另一台服务器B,就得重新登录,这是无法接受的,解决方式有以下几种:

  • session保持:保证每个客户固定地访问同一台服务器
  • session复制:将所有session对象复制到所有服务器
  • session共享:把所有session放到同一台服务器

不管哪一种,都得付出额外的成本,并且,随着用户量增大,服务器将创建大量的session对象,对服务器来说是个负担。

token认证机制

认证流程:

  • 用户使用账号密码登录服务器
  • 服务器用特定的算法生成一个签名的token返回给客户端
  • 客户端存储token,后续每次请求都带上token
  • 服务器验证token并返回数据

和session认证不同的是,token认证机制不需要在服务器端存储任何东西,这一点来说,服务器压力不会随着用户量增加而增大。

cookie不是一种认证机制,它和localStorage以及sessionStorage才是同类,由于每次HTTP请求都会自动带上cookie,它常常被用来存储用户认证相关数据。也正是因为每次HTTP请求都会自动带上cookie,才有了CSRF问题,要解决CSRF也很简单,不要把用户认证信息存在cookie。

总结

session像花名册,每次访问服务器都要查找该客户端是否登记在册;
token像密文,每次访问服务器,服务端都要采用特定的算法校验token是否有效;
相对session来说,token是利用服务器CPU的计算时间来换取服务器存储session对象的空间。

本文GitHub链接

posted @ 2021-03-29 09:35  wangmeijian  阅读(131)  评论(0编辑  收藏  举报