应用场景
HTTP协议是一个无状态的协议,无状态协议就是就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的,如果我们要再次发送请求时服务器就无法知道这次请求和上次请求是否是一个客户
Cookie
cookie是有服务器保存在用户浏览器(客户端)上的小文本文件(内容通常会解密),他可以包含有关用户的信息,无论何时用户连接到服务器。web站点都可以访问,cookie可以说是浏览器的缓存,cookie一般存在客户端
cookie优点:
1.简单性 Cookie 是一种基于文本的轻量结构,包含简单的键值对。
2.数据持久性 虽然客户端计算机上 Cookie 的持续时间取决于客户端上的 Cookie 过期处理和用户干预,Cookie 通常是客户端上持续时间最长的数据保留形式。
cookie缺点:
1.大小受到限制 ,大多数浏览器对 Cookie 的大小有 4096 字节的限制,尽管在当今新的浏览器和客户端设备版本中,支持 8192 字节的 Cookie 大小已愈发常见。
2.非常不安全,cookie将数据裸露在浏览器中,这样大大增大了数据被盗取的风险,所有我们不应该将中要的数据放在cookie中,或者将数据加密处理。
3.容易被csrf攻击,可以设置csrf_tokenj来避免攻击。
Session
用户在客户端登录后,服务器会跟据用户信息生成一个sessionID,然后会把session存储在redis,数据库等存储媒介中,然后通过设置cookie的方式返回给客户端,既存放在浏览器的cookie中,客户端在下一个请求时,会带上cookie中的sessionid,然后服务端根据sessionid去查redis或者数据库,进行验证,来到达用户校验的目的(cookie用来储存用户,session就是用来储存用户详情信息)
session优点:
1.session中的信息存储在服务端,相比于cookie就在一定程度上加大了数据的安全性。
2.session数据存储在服务端,相比于jwt方便进行管理,也就是说当用户登录和主动注销,只需要添加删除对应的session就可以,这样管理起来很方便。
session缺点:
1.session存储在服务端,这就增大了服务器的开销,当用户多的情况下,服务器性能会大大降低。
3、因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
4、用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
Token认证
客户端使用用户名跟密码请求登录,服务端收到请求,去验证用户名与密码,验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端,客户端收到 Token 以后可以把它存储起来,客户端每次向服务端请求资源的时候需要带着服务端签发的 Token,服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
优点:支持跨域,自身包含用户所有信息不需要在服务端储存session信息
缺点:占带宽(储存信息多消耗更多流量),无法在服务端注销,需要经常操作数据库(每次请求都会加载用户信息)
JSON Web Token(JWT)
跟token类似,只不过是json格式传输token
由服务器产生加密的json数据包括,header(头部),payload(载荷),signature(签证)三部分组成,header中通常来说由token的生成算法和类型组成。payload中则用来保存相关的状态信息。signature部分由header,payload,secret_key三部分加密生成。
jwt优点:
1、因为json的通用性,jwt可以支持跨语言请求,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
2、因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
4、它不需要在服务端保存会话信息, 所以它易于应用的扩展,即信息不保存在服务端,不会存在session扩展不方便的情况。
jwt缺点:
1、 登录状态信息续签问题。比如设置token的有效期为一个小时,那么一个小时后,如果用户仍然在这个web应用上,这个时候当然不能指望用户再登录一次。目前可用的解决办法是在每次用户发出请求都返回一个新的token,前端再用这个新的token来替代旧的,这样每一次请求都会刷新token的有效期。但是这样,需要频繁的生成token。另外一种方案是判断还有多久这个token会过期,在token快要过期时,返回一个新的token。
2、用户主动注销。JWT并不支持用户主动退出登录,当然,可以在客户端删除这个token,但在别处使用的token仍然可以正常访问。为了支持注销,我的解决方案是在注销时将该token加入黑名单。
使用jwt注意点:
1、在payload中不应该存放敏感信息,以为该部分客户端是可以解密的。
2、secret_key不能泄露。
理解:
session和cookie都容易被csrf攻击,而且session类型的状态保持只能用于浏览器中的,对于用户的登录和登出,使用session会更灵活一些。
jwt是json数据适用于各种语言,跨语言请求非常方便,jwt可以存在于各种客户端,不仅仅是浏览器,扩展性更强,对数据进行加密,数据非常安全。
