token/session/cookie的區別

1.簡單介紹

session(會話):

當用戶打開某個web應用時,便與web服務器產生一次session。服務器為了區分當前給自己發請求的是誰,給每個客戶端分配了一個不同的“身份標識”。客戶端發請求時需要攜帶該“身份標識”。“身份標識”的存儲方式很多,通常使用cookie。
服務器使用session把用戶的信息臨時保存在了服務器上,用戶離開網站后session會被銷毀。可是session有一個缺陷:如果web服務器做了負載均衡,那么下一個操作請求到了另一臺服務器的時候session會丟失。

cookie:

cookie是瀏覽器里面能永久存儲的一種數據。
cookie由服務器生成,發送給瀏覽器,瀏覽器把cookie以key-value形式保存到某個目錄下的文本文件內,下一次請求同一網站時會把該cookie發送給服務器。由于cookie是存在客戶端上的,所以瀏覽器加入了一些限制確保cookie不會被惡意使用,同時不會占據太多磁盤空間,所以每個域的cookie數量是有限的。

token(令牌):

token是用戶身份的驗證方式,最簡單的token組成:uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,由token的前幾位+鹽以哈希算法壓縮成一定長的十六進制字符串,可以防止惡意第三方拼接token請求服務器)。還可以把不變的參數也放進token,避免多次查庫

2.傳統身份驗證

HTTP是一種沒有狀態的協議,并不知道誰是訪問者。假設一個客戶端訪問服務端時發送賬號密碼,通過驗證。下回它再次訪問時,還是需要驗證。
解決辦法(session+cookie):
1)客戶端訪問時,通過了驗證。
2)服務端生成一條記錄,記錄一些必要信息。
3)把記錄這些信息的ID號發送給客戶端
4)客戶端收到ID號后存儲在cookie中
5)下次客戶端重新訪問服務端時,帶上cookie信息
6)服務端驗證cookie里面的信息,如果能找到對應的記錄,則用戶通過了驗證

3.token身份驗證

1)客戶端使用賬號密碼請求登錄
2)服務端收到請求,驗證賬號密碼
3)驗證通過,服務端簽發一個token給客戶端
4)客戶端收到token存儲起來(例:存在cookie)
5)客戶端每次請求服務端時帶著服務端簽發的token
6)服務端收到請求,驗證token。驗證成功則返回數據給客戶端

4.常見問題

1.服務器上的token存儲到數據庫中,每次查詢會不會很費時?

如果存儲到數據庫中會造成系統的性能問題,可以放在內存中

2.客戶端得到的token需要如何處理?

i.在存儲的時候把token對稱加密
ii.將請求url、時間戳、token三者合并加鹽簽名,服務器驗證有效性

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容