登入态是为了解决什么问题而存在的呢?
HTTP是一个无状态的协议,那么Web应用要怎么保持用户的登录态呢?
cookie
cookie其实是HTTP头部的一个字段,本质上可以存储任何信息,早年用于实现登录态,所以有了一层别的含义——客户端存储。把凭证存储到cookie中,每次浏览器的请求会自动带上cookie里的凭证,方便服务端校验。
优点:
解决了HTTP请求无状态的问题
缺点:
- 可以通过修改document.cookie=”isLogin = true”伪造登陆凭证,容易被窃取
- cookie存储的数据量大小有限制,单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。因此使用cookie只能存储一些小量的数据。
session
session本意是指客户端与服务器的会话状态,由于凭证存储到了服务端,后来也把这些存在服务端的信息称为session。
现在服务器决定自己维护登录状态,仅发给客户端一个key,然后在自己维护一个key-value表,如果请求中有key,并且在表中可以找到对应的value,则视为合法:
优点:
- 后端可以方便的修改过期时间以及续期时间
- 存储在服务器的数据会更加安全
缺点:
- 占用存储空间,占用服务器资源,当用户量越大,服务器压力越大
- 如果有负载均衡,还要考虑状态共享的问题,扩展性不强
- CSRF跨站伪造请求攻击
session的生成方式:
浏览器在第一次访问服务器时,服务器会创建一个session,然后同时为该session生成一个唯一的会话sessionid。然后将sessionid和session存储到缓存/数据库中,然后服务器再把sessionid(名字为JSESSIONID的cookie),以cookie形式发送给客户端。
token
token出现的原因:
是为了解决sessionId占用存储空间的,token在服务器时可以不用存储用户信息的,token传递的方式也不限于cookie传递。
token的生成方式:
浏览器第一次访问服务器时,会传过来一个唯一表示ID,服务端通过算法,加密钥,生成一个token。通过BASE64编码后将token发送给客户端。(服务器端并不进行保存)
客户端将token保存起来,下次请求带着token,服务器收到请求会用相同的算法取验证toekn,如果通过就继续执行。
token组成:
uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库
缺点:
加密过程会花费时间
优点:
服务器不需要记录任何东西,每次都是一个无状态的请求,每次都是通过解密来验证是否合法。不占用存储空间
token认证机制:
①认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)
②浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)
③再次访问时服务器端对token值的处理:服务器对浏览器传来的token值进行解密,解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,所以,即时有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。
实现:
假设我们在电脑和手机都使用同一个用户登陆,对于服务器来说,这两次登陆生成的token都是合法的,尽管他们是同一个用户。所以两个token不会失效。
参考连接
https://www.jianshu.com/p/0e77beb3c1e5
https://juejin.cn/post/6844903844942446600