1.背景
http是无状态链接(无状态是指服务器不知道请求具体来自于哪个用户,因而不能随便去操作数据库),而cookies,session和token就是在这个背景下提出来的。三者都是用来保存用户的相关信息的(如用户标志uid...)、过期时间等,随着客户端的请求发送到服务端用于身份校验。
2.组成,使用,有效期,优缺点
1. cookies:在客户端以key-value形式保存用户信息
组成:下图就是Chrome浏览器中简书网页下的cookies(F12打开浏览器调试功能)
主要是由Name(名字,相当于key) + Value(值,即当前用户信息) + Domian(域名) + Path(路径) + Expires/Max-Age(过期时间) + Size(大小)
使用:用于响应头和请求头中:由服务器在响应头中设置,客户端保存,并在发送请求时请求头中带上cookie
有效期:如果有设置过期时间,那么只要时间还没过期,即使关闭浏览器cookies也还会存在,反之,会在浏览器关闭时消失
优缺点:因为由客户端保存,可以被人修改,具有安全隐患。且每个浏览器能保存的cookies数量和大小有限制
2. session:在服务端以key-value形式保存用户信息
组成:session保存在服务器内存中,维持一个hash表保存用户相关信息(也是key-value形式)
使用:一个用户对应一个session,每个session都有它独一无二的sessionid,sessionid随响应头set-cookie保存到客户端的cookies中。客户端发送请求时带上cookies,服务端从cookies中拿到sessioid,然后根据sessionid从内存中找到对应用户的session获取相关用户信息
有效期:session默认30分钟超时,即如果在30分钟内session没有被访问过,那么就失效了。
优缺点:能够解决cookies的安全隐患,但因为保存在服务器内存中,当同时访问的用户很多时内存占用争夺,性能会受到影响
3. token:访问令牌--> 一个服务端生成的独一无二的字符串
组成:登录时由服务端生成,一般组成形式:uuid(用户唯一身份标志)+time(时间戳)+sign(签名=uuid+time+salt根据hash算法生成的字符串)+[常用的固定参数(可选)]
使用:保存在cookies或local storage中,随客户端请求发送至服务端,用于单点登录的身份验证,防止跨站点请求伪造等
有效期:根据token中的时间戳跟当前时间对比计算,看过期与否,有效期默认7天,用户退出时也会销毁
优缺点:安全,且服务器不存储,不影响服务器的性能
网友评论