session
流程:客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,验证正确在服务器存储session数据并向客户端返回session id,客户端浏览器将session id存储在cookie中,再向服务器发请求就会携带session id,而服务器则会利用传过来的session id去获取对应的session数据,然后服务器查询用户信息并将查询到的用户信息返回给浏览器。
缺点:session存储在服务器内存中,当用户量大的时候服务器的压力就会更大
如果存储在session id被截获,容易收到跨站请求伪造攻击
session存储在服务器内存中无法共享,如果服务器端做负载均衡,不同服务器之间无法共享session.
token
流程:客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,验证正确后生成token令牌,将token作为key而value做为用户id存于数据库或redis中,并将token返回给客户端(浏览器可存于localStorage或cookie或sessionStorage中),客户端再次请求将token放于请求头中,服务器验证token是否过期,并在数据库或redis中获取对应的value,查询用户数据.
这种机制就不会产生session中的那些弊端了。
缺点:效率低,依赖数据库或存在redis中依赖服务器
JWT(Json Web Token)
流程客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,生成jwt令牌,服务器不做任何存储操作直接向客户端返回,再次请求携带jwt令牌,客户端验证jwt并解析获得存储在payload中的信息,根据存储该信息查询用户数据
优点:服务器不做存储减轻压力,跨语言,安全性高不会被被伪造和篡改
缺点:无法作废未过期的jwt;Jwt是无状态的,如果别人获取到了,别人也能用;生成后就不能修改
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
