本文深入探讨了网站如何保持用户的登录状态,解释了sessionID在其中的关键作用,以及通过cookie和HTTP请求头(如Authorization)传输sessionID的具体实现方式。同时,介绍了JWT格式的accesstoken在现代Web应用中的应用。
保持登录状态” 其实就是服务端需要一些数据来识别发起当前请求的用户。比如在登录的时候,后端生成一个 session ID,然后设置到 cookie,后面的所有请求浏览器都会带上 cookie,然后服务端从 cookie 里获取 session ID,再查询到用户信息。
所以,保持登录的关键不是 cookie,而是通过 cookie 保存和传输的 session ID,其本质是能获取用户信息的数据。除了 cookie,还通常使用 HTTP 请求头来传输,比如标准的 Authorization,也可以自定义,如 X-Auth-SessionID 等。但是这个请求头浏览器不会像 cookie 一样自动携带,需要手工处理。
比如,登录的时候,服务端返回一个 JWT 格式的 access token,前端将其保存到 localStorage,后续的请求,构造一个类似
Authorization: Bearer <access token>
的请求头。服务端从 Authorization 取出 token, 解码并查询到对应的用户。最终的效果和 cookie 是一样的。
扫一扫
874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
