概念
cookie
cookie存储在客户端,HTTP是无状态的,HTTP每次发出的时候会附上该域名下的cookie,从而可以给HTTP附上状态,最常见的就是登录态。
session和token
session和token算是一类的,他们是两种不同的服务器的验证方式。
通俗来说,cookie会存一个value在客户端本地,然后将value附到HTTP上发给服务器,那么服务器是怎么通过这个value来判断用户是否是登录态的呢?这就是session和token做的事情。
session过程
请求过程:
1、客户端向服务器请求,发送用户名和密码
2、服务器生成sessionId,绑定用户数据存储在数据库
3、服务器返回sessionId给客户端
4、客户端用cookie存储sessionId,以后的请求都带上这个sessionId
5、服务器如果收到这个sessionId,那么就去数据库查找用户数据,如果找到了说明验证通过
6、服务器把验证结果返回客户端
image.png
token过程
请求过程:
1、客户端向服务器请求,发送用户名和密码
2、服务器根据用户信息通过加密生成token,用户信息包括账号,token过期时间等,具体由服务器自定义。
3、服务器返回token给客户端
4、客户端用cookie存储token,以后的请求都带上这个token
5、服务器把token解密,确认用户信息是否正确,如经过正确就说明验证通过。
6、服务器把验证结果返回客户端
image.png
session、token优劣
session
由于sessionId和用户信息相互绑定的数据库存在服务器,所以服务器可以随时让发送出去的一个sessionId失效。这是保障安全的一种重要手段。
token
token的好处是比session更省空间和时间,服务器不需要去管理sessionId和用户信息的数据库,服务器收到token直接解密就可以验证,不需要去数据库查找验证。
但是token发送出去之后,就只能等待它达到过期时间后才会失效,后台无法对其进行控制。
下面我们讲个实例加深下印象
比如教管系统,我们退出登录,我们按F12抓包,抓包的时候要设置下preserve log,我们刷新一下界面看一下,刷新之后我们看这个登录请求我们可以看到没有cookie字段
image.png
登录我们发请求的时候我们看一下请求头,请求头里面还是没有cookie字段
image.png
然后我们点击登录看一下响应(Response )里面有Set-Cookie的字段里面有sessionid在里面,这个就是cookie数据,他要求你把cookie里面设置一个sessionid数据存在客户端。
image.png
存上之后我们后续的请求,登录成功之后不是要访问主页了吗,后续请求请求头就带上了Cookie。
说道这里有没有同学想到,之前讲的Postman也没有登录啊,也可以操作成功列出课程之类的,那是因为我们之前讲的案例把教管系统的校验机制给去掉了。现在我们把校验机制打开,然后用Postman发送请求看看会是什么结果
image.png
会看到返回了未登录,假如有效验系统我们该怎么做API测试呢,我们可以在之前加一个登录操作
先看下登录认证API接口文档
用来进行用户登录认证
请求语法
POST /api/mgr/loginReq HTTP/1.1
Host: restapi-teach.com
Content-Type: application/x-www-form-urlencoded
url请求参数
无url请求参数
| 参数信息 | 必填 | 说明 |
|---|---|---|
| username | 必填 | 填写用户名 |
| password | 必填 | 填写用户密码 |
响应语法
HTTP/1.1 200 OK
Content-Type: application/json
头部信息
| 头部信息 | 必填 | 说明 |
|---|---|---|
| Content-Type | 必填 | 该字段值为application/json,表示返回 JSON 格式的文本信息。 |
| Set-Cookie | 必填 | 该字段保存本次登录的sessionid,比如:sessionid=89emkau5vhyg8vcwfwvq2pvr7ul2t5sc |
响应内容
如果请求成功,返回json格式的消息体,如下所示,retcode值为0表示登录认证成功
{
"retcode": 0
}
说明
如果输入的用户名或者密码错误,则返回结果为
{
"retcode": 1,
"reason": "用户或者密码错误"
}
我们只要根据这个接口文档,把API接口构建起来
image.png
这样就可以了,登录请求之后响应头里面有个Set-Cookie
image.png
这个值会被Postman保存下来,点击cookies
image.png
他会把当前的网址使用的session存下来
image.png
一旦保存之后,你后续的再进行相关操作就会带上sessionid
此贴部分转载
原文:https://blog.csdn.net/Double2hao/article/details/83744659
网友评论