session和token的區別

2021-10-24 14:48:33 字數 1488 閱讀 6657

為什麼要有session的出現?

答:是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。

session生成方式?

答:瀏覽器第一次訪問伺服器,伺服器會建立乙個session,然後同時為該session生成乙個唯一的會話的key,也就是sessionid,然後,將sessionid及對應的session分別作為key和value儲存到快取中,也可以持久化到資料庫中,然後伺服器再把sessionid,以cookie的形式傳送給客戶端。這樣瀏覽器下次再訪問時,會直接帶著cookie中的sessionid。然後伺服器根據sessionid找到對應的session進行匹配;

還有一種是瀏覽器禁用了cookie或不支援cookie,這種可以通過url重寫的方式發到伺服器;

簡單來講,使用者訪問的時候說他自己是張三,他騙你怎麼辦? 那就在伺服器端儲存張三的資訊,給他乙個id,讓他下次用id訪問。

為什麼會有token的出現?

答:首先,session的儲存是需要空間的,其次,session的傳遞一般都是通過cookie來傳遞的,或者url重寫的方式;而token在伺服器是可以不需要儲存使用者的資訊的,而token的傳遞方式也不限於cookie傳遞,當然,token也是可以儲存起來的;

token的生成方式?

答:瀏覽器第一次訪問伺服器,根據傳過來的唯一標識userid,服務端會通過一些演算法,如常用的hmac-sha256演算法,然後加乙個金鑰,生成乙個token,然後通過base64編碼一下之後將這個token傳送給客戶端;客戶端將token儲存起來,下次請求時,帶著token,伺服器收到請求後,然後會用相同的演算法和金鑰去驗證token,如果通過,執行業務操作,不通過,返回不通過資訊;

token和session的區別?

token和session其實都是為了身份驗證,session一般翻譯為會話,而token更多的時候是翻譯為令牌;

session伺服器會儲存乙份,可能儲存到快取,檔案,資料庫;同樣,session和token都是有過期時間一說,都需要去管理過期時間;

其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。兩者的選擇要看具體情況而定。

雖然確實都是「客戶端記錄,每次訪問攜帶」,但 token 很容易設計為自包含的,也就是說,後端不需要記錄什麼東西,每次乙個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 cs 兩端的一些邏輯之外,整個資訊是自包含的。這才是真正的無狀態。

而 sessionid ,一般都是一段隨機字串,需要到後端去檢索 id 的有效性。萬一伺服器重啟導致記憶體裡的 session 沒了呢?萬一 redis 伺服器掛了呢?

方案 a :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後台查一下你的 id 是不是有效。

方案 b :我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。

就這麼個差別。

token和session的區別

1.為什麼要有session的出現?答 是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。2.session生成方式?答 瀏覽器第一次訪問伺服器,伺服器會建立乙個session,然後同時為...

session 和token 的區別

目錄 一 session的狀態保持及弊端 二 token認證機制 當使用者第一次通過瀏覽器使用使用者名稱和密碼訪問伺服器時,伺服器會驗證使用者資料,驗證成功後在伺服器端寫入session資料,向客戶端瀏覽器返回sessionid,瀏覽器將sessionid儲存在cookie中,當使用者再次訪問伺服器...

token和session的區別

session和token都是用來保持會話,功能相同 不同的使用者訪問服務端的時候會在session物件中儲存鍵值對,鍵 用來儲存開啟這個使用者資訊的 鑰匙 在登入成功後,鑰匙 通過cookie返回給客戶端,客戶端儲存為sessionid記錄在cookie中。當客戶端再次訪問時,會預設攜帶cooki...