网上有很多讲解Cookie,Session以及Token的帖子,但是讲解内容时深时浅,描述内容晦涩难懂,往往看完一遍心里还没有什么概念。在我艰难理解了其中的含义后,简单的通过比喻的方式来描述这三者的区别。
一、背景因素
以前由于网速,流量,技术等诸多方面限制,人们往往只能查看单一的页面。随着时代发展,网络的关联性也变的越来越重要,此时需要有效的方式来做到网站间相互关联
Http协议是网站间交互常用的一种协议,但他有一种特性:无状态,即每次协议的内容都是毫无关系的,那么想要在不同的界面中传输信息就成为了难题。
二、Cookie,Session,Token介绍
本次我们通过生活对比来举个例子:
我们把用户在多个网页间浏览查看的行为比作驾驶员过收费站
序号 |
学术理解 |
生活比喻 |
|---|---|---|
1 |
在没有cookie、session以及token之前,用户每访问一个网站,都需要重新上传身份信息,网站之间无法对用户进行关联 |
之前驾驶员过收费站,由于没有已经缴费得证据,每次过一个新的收费站都需要再缴一次费用 |
2 |
此时出现了Cookie,Cookie由用户的信息组成,在首次访问网站时由网站服务器生成并返回给用户cookie文件,保留在用户本地。每次进入网站时,都将网站对应的Cookie传给网站,在相同域名下实现跨网页传输信息的作用 |
驾驶员将自身信息上报给收费站,收费站给驾驶员发放一个基于驾驶员信息的通行证,后续经过收费站以及后面的子收费站时,就可以直接通过通行证放行。 |
3 |
但cookie本身由于存储于客户端,会有被篡改,伪造身份信息的风险 |
由于通行证在驾驶员手中,可能会受到调包使用者的风险 |
4 |
为了避免上述问题,新出的session采用将信息保存在服务器,通过用户提供sessionId,与服务端的数据库进行对比,如果一致则确认为此用户,且服务器信息不泄露的条件下,就无法伪造身份 |
收费站一看这不行啊,那不如我来登记车主提供的身份信息,每次车主过收费站需要报自己手机号,如果和我留存的车主信息的手机号一致,那才能通行,而且身份信息保留在我这里也不容易被篡改。 |
5 |
然而使用session仍会对服务端的数据库/内存造成一定压力,且黑客也可能破解服务器,导致服务端的session信息泄露 |
虽然信息存在收费站不容易被篡改了,但收费站本身保管信息以及根据信息核对车主身份会对收费站造成一定业务压力,并且也存在存储的信息被潜入收费站的人偷看后伪造的风险 |
6 |
为此出现了Token,将用户传输的信息通过服务端加密方式加密后返回加密信息给用户,下次用户须提交普通信息以及加密后的信息,服务器将用户提供的加密信息解密后与普通信息做比对,如果信息一致则允许继续使用当前身份传输信息,否则需要重新登录 |
为了解决上面的问题,收费站采取了另一种核对方式,车主先提供自身信息,收费站拿到信息后把信息放到一个只有收费站才能打开的盒子里,并把盒子交给车主。每当车主过收费站时需要提交身份信息以及盒子,收费站打开盒子后拿到盒子里的信息与车主信息进行比对,如果是相同的说明盒子确实是本收费站发的,并且也是同一个车主的信息,则允许通行 |
当然,真正的cookie,session以及token实现起来并没有所说的那么简单,但本文并不是用来讲解三者的核心原理的,而是尽可能帮助分不清三者关系的人梳理其中的含义,希望通过这篇文章能够了解到三者的作用及区别。
