1.簡單介紹
session(會(huì)話):
當(dāng)用戶打開某個(gè)web應(yīng)用時(shí)截驮,便與web服務(wù)器產(chǎn)生一次session。服務(wù)器為了區(qū)分當(dāng)前給自己發(fā)請(qǐng)求的是誰完疫,給每個(gè)客戶端分配了一個(gè)不同的“身份標(biāo)識(shí)”审姓≡暗#客戶端發(fā)請(qǐng)求時(shí)需要攜帶該“身份標(biāo)識(shí)”近弟∶逶悖“身份標(biāo)識(shí)”的存儲(chǔ)方式很多,通常使用cookie祷愉。
服務(wù)器使用session把用戶的信息臨時(shí)保存在了服務(wù)器上窗宦,用戶離開網(wǎng)站后session會(huì)被銷毀《可是session有一個(gè)缺陷:如果web服務(wù)器做了負(fù)載均衡赴涵,那么下一個(gè)操作請(qǐng)求到了另一臺(tái)服務(wù)器的時(shí)候session會(huì)丟失。
cookie:
cookie是瀏覽器里面能永久存儲(chǔ)的一種數(shù)據(jù)订讼。
cookie由服務(wù)器生成髓窜,發(fā)送給瀏覽器,瀏覽器把cookie以key-value形式保存到某個(gè)目錄下的文本文件內(nèi)欺殿,下一次請(qǐng)求同一網(wǎng)站時(shí)會(huì)把該cookie發(fā)送給服務(wù)器寄纵。由于cookie是存在客戶端上的,所以瀏覽器加入了一些限制確保cookie不會(huì)被惡意使用祈餐,同時(shí)不會(huì)占據(jù)太多磁盤空間擂啥,所以每個(gè)域的cookie數(shù)量是有限的哄陶。
token(令牌):
token是用戶身份的驗(yàn)證方式帆阳,最簡單的token組成:uid(用戶唯一的身份標(biāo)識(shí))、time(當(dāng)前時(shí)間的時(shí)間戳)屋吨、sign(簽名蜒谤,由token的前幾位+鹽以哈希算法壓縮成一定長的十六進(jìn)制字符串,可以防止惡意第三方拼接token請(qǐng)求服務(wù)器)至扰。還可以把不變的參數(shù)也放進(jìn)token鳍徽,避免多次查庫
2.傳統(tǒng)身份驗(yàn)證
HTTP是一種沒有狀態(tài)的協(xié)議,并不知道誰是訪問者敢课。假設(shè)一個(gè)客戶端訪問服務(wù)端時(shí)發(fā)送賬號(hào)密碼阶祭,通過驗(yàn)證绷杜。下回它再次訪問時(shí),還是需要驗(yàn)證濒募。
解決辦法(session+cookie):
1)客戶端訪問時(shí)鞭盟,通過了驗(yàn)證。
2)服務(wù)端生成一條記錄瑰剃,記錄一些必要信息齿诉。
3)把記錄這些信息的ID號(hào)發(fā)送給客戶端
4)客戶端收到ID號(hào)后存儲(chǔ)在cookie中
5)下次客戶端重新訪問服務(wù)端時(shí),帶上cookie信息
6)服務(wù)端驗(yàn)證cookie里面的信息晌姚,如果能找到對(duì)應(yīng)的記錄粤剧,則用戶通過了驗(yàn)證
3.token身份驗(yàn)證
1)客戶端使用賬號(hào)密碼請(qǐng)求登錄
2)服務(wù)端收到請(qǐng)求,驗(yàn)證賬號(hào)密碼
3)驗(yàn)證通過挥唠,服務(wù)端簽發(fā)一個(gè)token給客戶端
4)客戶端收到token存儲(chǔ)起來(例:存在cookie)
5)客戶端每次請(qǐng)求服務(wù)端時(shí)帶著服務(wù)端簽發(fā)的token
6)服務(wù)端收到請(qǐng)求抵恋,驗(yàn)證token走贪。驗(yàn)證成功則返回?cái)?shù)據(jù)給客戶端
4.常見問題
1.服務(wù)器上的token存儲(chǔ)到數(shù)據(jù)庫中觉至,每次查詢會(huì)不會(huì)很費(fèi)時(shí)?
如果存儲(chǔ)到數(shù)據(jù)庫中會(huì)造成系統(tǒng)的性能問題肆资,可以放在內(nèi)存中
2.客戶端得到的token需要如何處理懊烤?
i.在存儲(chǔ)的時(shí)候把token對(duì)稱加密
ii.將請(qǐng)求url梯醒、時(shí)間戳、token三者合并加鹽簽名腌紧,服務(wù)器驗(yàn)證有效性
