session
流程:客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,验证正确在服务器存储session数据并向客户端返回session id,客户端浏览器将session id存储在cookie中,再向服务器发请求就会携带session id,而服务器则会利用传过来的session id去获取对应的session数据,然后服务器查询用户信息并将查询到的用户信息返回给浏览器。
缺点:session存储在服务器内存中,当用户量大的时候服务器的压力就会更大
如果存储在session id被截获,容易收到跨站请求伪造攻击
session存储在服务器内存中无法共享,如果服务器端做负载均衡,不同服务器之间无法共享session.
token
流程:客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,验证正确后生成token令牌,将token作为key而value做为用户id存于数据库或redis中,并将token返回给客户端(浏览器可存于localStorage或cookie或sessionStorage中),客户端再次请求将token放于请求头中,服务器验证token是否过期,并在数据库或redis中获取对应的value,查询用户数据.
这种机制就不会产生session中的那些弊端了。
缺点:效率低,依赖数据库或存在redis中依赖服务器
JWT(Json Web Token)
流程客户端浏览器发送登录请求到服务器,服务器验证请求的用户数据,生成jwt令牌,服务器不做任何存储操作直接向客户端返回,再次请求携带jwt令牌,客户端验证jwt并解析获得存储在payload中的信息,根据存储该信息查询用户数据
优点:服务器不做存储减轻压力,跨语言,安全性高不会被被伪造和篡改
缺点:无法作废未过期的jwt;Jwt是无状态的,如果别人获取到了,别人也能用;生成后就不能修改
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之家整理,本文链接:https://www.bmabk.com/index.php/post/4956.html
