Cookie
Cookie是网页浏览器用来保存用户信息的文件。
HTTP协议是无状态的协议,网页关闭后,浏览器和服务端的连接就会断开,下次打开网页需要重新连接,服务器无法从你打开的连接上恢复上一次的会话。
有了cookie就不同了,当打开网页和服务器建立连接的时候,把cookie里记录的信息一起发送给服务器,这样服务器就能从cookie里的信息识别你的身份,让给页面为用户提供特别属于用户的内容,比如登录网页里默认的用户名和密码。
我们访问浏览器时,会发送一个HTTP请求至服务端,服务端会发送一个HTTP响应到客户端,其中包括Sst-Cookie,意思就是浏览器建立一个cookie保存服务器指定的内容,比如用户信息和用户操作信息;
浏览器保存好信息后,下次我们再访问服务器的时候,浏览器会再把之前保存的cookie携带到服务器端;
服务器端会从收到的cookie中识别用户身份,就能让页面为你提供专门属于用户的内容了。
cookie存储的数量和字符数量都有限制,只能存储十几个,不超过4kb
cookie存储在用户浏览器里也不安全,任何人都能直接查看。
比如google浏览器,右键-检查-Console-输入document.cookie即可查看
Cookie的生命周期
整个会话期间:浏览器会将cookie保存在内存中,浏览器关闭时自动删除这个cookie;
长久有效:手动将cookie保存在客户端的硬盘中,浏览器关闭,cookie不会被清除,下次再打开浏览器访问相应网站时,这个cookie就会自动再次发送到服务器。
Session
Session会话,会话是指我们访问网站的一个周期,在浏览器打开一个站点,然后在这个站点点击多个超链接查看各个网页,然后关闭浏览器,整个过程称为一个会话。
客户端浏览器访问网站时,服务器会向浏览器发送一个每个用户特有的会话编号session ID,让他进入到cookie里。服务器同时也把session和对应的用户信息及操作记录在服务器上,这些记录就是session。
客户端浏览器再次访问时,会发送cookie给服务器,其中就包括sessionID,服务器从cookie里找到sessionID,再根据sessionID找到以前记录的用户信息就可以知道他之前操控哪些、访问过哪里。
session安全性高,但是对服务器的存储压力很大。
Token
Token是服务端生成额的一串字符串,当作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并将Token返回给客户端,以后客户端只需带上这个Token请求数据即可,无需再次带上用户名和密码。
Token的认证流程与Cookie相似:
1.用户登录,成功后服务端返回Token给客户端
2.客户端收到数据后保存在客户端
3.客户端再次访问服务器,将Token放入header中
4.服务器对token进行校验,成功则返回数据,失败则返回错误码
Token和Session对比选型
传统的应用是将session放到应用服务器上,而将产生的JSESSIONID放到用户浏览器的cookie中,而这种模式在前后端分离中会存在以下问题:
1.开发繁琐
2.安全性和体验差
3.有些前端技术不支持cookie,如微信小程序
Token的优点:
1.支持跨域访问:cookie不允许跨域访问,token支持,前提是传输的用户认证信息通过HTTP头传输。
2.无状态:Token机制不需要在服务端存储session信息,因为Token自身包含了用户的信息,只需要在客户端的cookie或本地介质存储状态信息。
3.去耦:不需要绑定到一个特定的身份验证方案,Token可以在任何地方生成。
4.适用接口跨平台:当客户端是原生平台时,cookie是不被支持的,采用Token认证机制就会简单的多。
5.CSRF(跨站请求伪造):不再依赖Cookie,就不需要考虑CSRF的防范
Token的验证机制比Session的验证机制更加灵活方便,一般使用Token较多。
