为什么需要Session 、Cookie 、 Token ?
早期的互联网相当于一个文件服务器,访问服务器,只是提供了文件浏览功能。每次请求都是一个 HTTP 协议请求,服务器并不知道是谁访问了互联网,后来随着电子商务,论坛等网站的发展,有了用户登录,服务器需要知道是谁登录了网站。怎么解决这个问题呢?
HTTP 是一个无状态协议,什么是无状态呢?就是说这一次请求和上一次请求是没有任何关联。这种无状态的的好处是快速,坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,无关联不能知晓,这次是哪个用户访问了这个网页,页面跳转了,不知道还是不是同一个用户在访问, 因此采用了一些工具和手段将网页关联起来,采用共享信息的办法,让域名下所有网页共享同一个信息,比如说共享用户登录信息。服务器就知道了是谁在访问这个网页了。
Session
Session 和 Cookie 的作用都是为了保持访问用户与后端服务器的交互状态
Session 就是来解决网页共享数据的一种方式,Session 相当于用户的档案库,存储在服务器端,用户的登录信息存储在Session 中,服务器为每个用户分配一个Session ID ,客户端保存这个SessionID就可以了。客户端退出后,清除Session ,但是因此带来了一个问题 ,如果用户小明访问了服务器 a, 服务器 a 保存了用户的信息,此时跳转到另外一个页面,这个页面在服务器 b, 要无缝连接,客户端无感知,只能服务器 b 的 session 保存小明的信息,验证登录用户还能不能访问服务器,否则只能让小明就不能访问服务器 b,用户需要重新登录。
这也是 Session 的缺点,不容易在多台服务器之间共享。
Session 不方便服务器之间的同步,怎么办? 服务器端能不能不保存 Session,客户端保存就可以了,服务器只要验证就行了。
Cookie
Cookie 通俗点说,就是用户通过 HTTP 访问一个服务器时,这个服务器还会将一些 Key/Value 键值对返回给客户端浏览器,客户端浏览器下次访问服务器时,将Cookie 带回给服务器。服务器不存储用户的登录信息,通过验证 Cookie 信息来确认是不是保持着用户和服务器直接的交互状态。
HTTP 访问的过程
- 首先,客户端会发送一个http请求到服务器端。
- 服务器端接受客户端请求后,建立一个session,并发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部。该头部包含了sessionId。Set-Cookie格式如下:
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
- 在客户端发起的第二次请求,假如服务器给了set-Cookie,浏览器会自动在请求头中添加cookie
- 服务器接收请求,分解cookie,验证信息,核对成功后返回response给客户端
Cookie 是保存在客户端的,避免了 Session 存储在服务器端带来了资源开销,也避免了服务器之间共享 Session , 但是也有缺点,使用 Cookie 来传递消息,随着 Cookie 数量的增多和访问量的增加。占用网络带宽消耗很大。但是一旦客户端被劫持,Cookie 信息泄露,就可能会出现其他用户盗用 Cookie 信息, 网站登录身份从游客变成了用户登录了,造成用户信息全部泄露。那有什么办法让 访问更加安全一些呢?
Token
Token 和 Cookie 有点类似,用户访问服务器时,服务器返回一个 Token ,用户下次访问时,将这个 Token 信息带回给服务器,这样就能完成验证了。只是和 Cookie 不一样的是,Cookie 携带的是明文信息,Token 对信息进行了处理。
用户访问服务器,服务器返回 Token ,这个Token 是用服务器的密钥进行加密的,对数据进行一个签名,秘钥只有服务器知道,别人就不能伪造 Token 信息了,用户再把 Token 信息带过来时验证就可以了。(是不是想说,用户怎么知道服务器是不是别人伪造了,这就牵扯 公钥私钥了,这里就不深入了),总之,服务器可以确认,用户的请求不是伪造的了。比Cookie 就相对安全了。
Token 访问过程
- 用户通过用户名和密码发送请求服务器程序验证。
- 服务器程序返回一个签名的token 给客户端。
- 客户端储存token,并且每次用于每次发送请求。
- 服务器验证token并返回数据。
