1. 為什麼要有session的出現?
答:是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。
2. session生成方式?
答:瀏覽器第一次訪問伺服器,伺服器會建立乙個session,然後同時為該session生成乙個唯一的會話的key,也就是sessionid,然後,將sessionid及對應的session分別作為key和value儲存到快取中,也可以持久化到資料庫中,然後伺服器再把sessionid,以cookie的形式傳送給客戶端。這樣瀏覽器下次再訪問時,會直接帶著cookie中的sessionid。然後伺服器根據sessionid找到對應的session進行匹配;
還有一種是瀏覽器禁用了cookie或不支援cookie,這種可以通過url重寫的方式發到伺服器;
簡單來講,使用者訪問的時候說他自己是張三,他騙你怎麼辦? 那就在伺服器端儲存張三的資訊,給他乙個id,讓他下次用id訪問。
3. 為什麼會有token的出現?
答:首先,session的儲存是需要空間的,其次,session的傳遞一般都是通過cookie來傳遞的,或者url重寫的方式;而token在伺服器是可以不需要儲存使用者的資訊的,而token的傳遞方式也不限於cookie傳遞,當然,token也是可以儲存起來的,一般現在好像都是直接存在localstorage中;
4. token的生成方式?
答:瀏覽器第一次訪問伺服器,根據傳過來的唯一標識userid,服務端會通過一些演算法,如常用的hmac-sha256演算法,然後加乙個金鑰,生成乙個token,然後通過base64編碼一下之後將這個token傳送給客戶端;客戶端將token儲存起來,下次請求時,帶著token,伺服器收到請求後,然後會用相同的演算法和金鑰去驗證token,如果通過,執行業務操作,不通過,返回不通過資訊;
5. token和session的區別?
token和session其實都是為了身份驗證,session一般翻譯為會話,而token更多的時候是翻譯為令牌;
session伺服器會儲存乙份,可能儲存到快取,檔案,資料庫;同樣,session和token都是有過期時間一說,都需要去管理過期時間;
其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。兩者的選擇要看具體情況而定。
雖然確實都是「客戶端記錄,每次訪問攜帶」,但 token 很容易設計為自包含的,也就是說,後端不需要記錄什麼東西,每次乙個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 cs 兩端的一些邏輯之外,整個資訊是自包含的。這才是真正的無狀態。
而 sessionid ,一般都是一段隨機字串,需要到後端去檢索 id 的有效性。萬一伺服器重啟導致記憶體裡的 session 沒了呢?萬一 redis 伺服器掛了呢?
方案 a :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後台查一下你的 id 是不是有效。
方案 b :我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。
就這麼個差別。
session 和token 的區別
目錄 一 session的狀態保持及弊端 二 token認證機制 當使用者第一次通過瀏覽器使用使用者名稱和密碼訪問伺服器時,伺服器會驗證使用者資料,驗證成功後在伺服器端寫入session資料,向客戶端瀏覽器返回sessionid,瀏覽器將sessionid儲存在cookie中,當使用者再次訪問伺服器...
token和session的區別
session和token都是用來保持會話,功能相同 不同的使用者訪問服務端的時候會在session物件中儲存鍵值對,鍵 用來儲存開啟這個使用者資訊的 鑰匙 在登入成功後,鑰匙 通過cookie返回給客戶端,客戶端儲存為sessionid記錄在cookie中。當客戶端再次訪問時,會預設攜帶cooki...
session和token的區別
為什麼要有session的出現?答 是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。session生成方式?答 瀏覽器第一次訪問伺服器,伺服器會建立乙個session,然後同時為該ses...