session和token
1.相同点:session和token都是登录校验的一种实现方式
2.session和token的差别
session校验流程:
1)提交用户名和密码;
2)后端验证通过,服务器保存用户登录信息,并将sessionID响应给客户端;
3)登录后每次请求将携带cookie服务器提取cookie中的sessionid和后端保存的信息进行比对;
session测试点:
1)功能测试:需要用到cookie,很多浏览器禁用cookie
2)性能测试:session保存位置(服务器)
session核心区别点:
1)服务器需要保存登录信息
2)大部分web采用该机制
token校验流程:
1)提交用户名和密码
2)后端验证通过后生产令牌(特殊的字符串)响应给客户端(一般服务器不存储任何登录记录;不限于cookie、响应体;客户端客户端通常需要执行保存,前端人员自己想办法)
3)登录后的每次请求将携带token服务器检查token合法性(由特定规则算法生成;后端最常见)
token核心区别点:
1)不需要存储登录信息在服务器
2)app比较常用
token测试点
1)本身自带防伪标注,由客户端保存
2)其他软件窃取
3)安全性测试
网友评论