cookie和sesssion区别
- cookie在客户端,用来保存用户身份信息以及浏览记录(缓存)等,但是不安全容易被纂改,也会保存session ID(服务端通过ID获取session信息)配合服务端session识别身份。
- session保存在服务端,用于验证身份等;但是增加了服务器的负担;新开窗口session不会关闭,关闭浏览器后session会关闭。如果客户端不支持cookie,使用URL重写技术,将session ID写入URL尾部。
- 总结: 将登陆信息等重要信息存放为SESSION;其他信息如果需要保留,可以放在COOKIE中;
sso单点登录
大体就是:
- 将生成凭证和校验凭证的流程放在sso服务器,第一次搞定后,后面每次访问都携带独立的session ID访问服务,服务侧记录了sesson是登录状态的,因此免密
- 同一个用户访问其他服务时,由于sso服务器记录了登录,因此直接颁发新的ST,同样原理生成新的seesion ID保存到ciookie。
详细流程:
用户访问app系统,app系统是需要登录的,但用户现在没有登录。
跳转到CAS server,即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统。 SSO系统也没有登录,弹出用户登录页。用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。
SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app系统,同时将ST作为参数传递给app系统。
app系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。
验证通过后,app系统将登录状态写入session并设置app域下的Cookie。至此,跨域单点登录就完成了。以后我们再访问app系统时,app就是登录的。接下来,我们再看看访问app2系统时的流程。
用户访问app2系统,app2系统没有登录,跳转到SSO。
由于SSO已经登录了,不需要重新登录认证。
SSO生成ST,浏览器跳转到app2系统,并将ST作为参数传递给app2。
app2拿到ST,后台访问SSO,验证ST是否有效。
验证成功后,app2将登录状态写入session,并在app2域下写入Cookie
