由于http协议是无状态的,为减轻客户端和服务器之间登录验证的麻烦,于是有了session和cookie这类玩意。
session和cookie
什么是session呢,客户端在第一次进行登录验证时,服务器会从数据库中查询对应的账号和密码,若匹配成功,则生成一个针对于此客户端的sessionID,(其本身应该是由过期时间的),将此SessionID发送给客户端。客户端可以存储到本地的cookie中,下一次就可以带着cookie信息直接访问,而不需要进行登录验证了。
Token
token又是什么呢?其实sessionID也是Token的一种实现方式,但是业界常用的还是比如像JWT这种的验证方式。
这里有关于JWT的详细介绍(https://www.cnblogs.com/yuanrw/p/10089796.html
),它的优点在于服务器不许要进行存储,只需要进行解密验证就行了,相当于是利用计算能力代替了存储空间。
token的组成为header+payload+signature。其中signature是对前两个字符串进行的签名。
优缺点:
JWT的优点:
-
安全性高,防止token被伪造和篡改
-
自包含,减少存储开销
-
跨语言,支持多种语言的实现
-
支持过期,发布者校验
JWT的注意事项:
-
消息体可以被base64解密为明文
-
不适合存放大量信息
网友评论