1. 程式人生 > >Session,Token,Cookie相關區別

Session,Token,Cookie相關區別

1. 為什麼要有session的出現?

答:是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。

2. session生成方式?
答:瀏覽器第一次訪問伺服器,伺服器會建立一個session,然後同時為該session生成一個唯一的會話的key,也就是sessionid,然後,將sessionid及對應的session分別作為key和value儲存到快取中,也可以持久化到資料庫中,然後伺服器再把sessionid,以cookie的形式傳送給客戶端。這樣瀏覽器下次再訪問時,會直接帶著cookie中的sessionid。然後伺服器根據sessionid找到對應的session進行匹配;
還有一種是瀏覽器禁用了cookie或不支援cookie,這種可以通過URL重寫的方式發到伺服器;

簡單來講,使用者訪問的時候說他自己是張三,他騙你怎麼辦? 那就在伺服器端儲存張三的資訊,給他一個id,讓他下次用id訪問。

3. 為什麼會有token的出現?
答:首先,session的儲存是需要空間的,其次,session的傳遞一般都是通過cookie來傳遞的,或者url重寫的方式;而token在伺服器是可以不需要儲存使用者的資訊的,而token的傳遞方式也不限於cookie傳遞,當然,token也是可以儲存起來的;

4. token的生成方式?
答:瀏覽器第一次訪問伺服器,根據傳過來的唯一標識userId,服務端會通過一些演算法,如常用的HMAC-SHA256演算法,然後加一個金鑰,生成一個token,然後通過BASE64編碼一下之後將這個token傳送給客戶端;客戶端將token儲存起來,下次請求時,帶著token,伺服器收到請求後,然後會用相同的演算法和金鑰去驗證token,如果通過,執行業務操作,不通過,返回不通過資訊;

5. token和session的區別?
token和session其實都是為了身份驗證,session一般翻譯為會話,而token更多的時候是翻譯為令牌;
session伺服器會儲存一份,可能儲存到快取,檔案,資料庫;同樣,session和token都是有過期時間一說,都需要去管理過期時間;
其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。兩者的選擇要看具體情況而定。

雖然確實都是“客戶端記錄,每次訪問攜帶”,但 token 很容易設計為自包含的,也就是說,後端不需要記錄什麼東西,每次一個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 CS 兩端的一些邏輯之外,整個資訊是自包含的。這才是真正的無狀態。 
而 sessionid ,一般都是一段隨機字串,需要到後端去檢索 id 的有效性。萬一伺服器重啟導致記憶體裡的 session 沒了呢?萬一 redis 伺服器掛了呢? 

方案 A :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是不是有效。 
方案 B :我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。 
就這麼個差別。

token的使用可以參考:json web token(JWT)

答:是由於網路中http協議造成的,因為http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作,就實現不了了。

2. session生成方式?
答:瀏覽器第一次訪問伺服器,伺服器會建立一個session,然後同時為該session生成一個唯一的會話的key,也就是sessionid,然後,將sessionid及對應的session分別作為key和value儲存到快取中,也可以持久化到資料庫中,然後伺服器再把sessionid,以cookie的形式傳送給客戶端。這樣瀏覽器下次再訪問時,會直接帶著cookie中的sessionid。然後伺服器根據sessionid找到對應的session進行匹配;
還有一種是瀏覽器禁用了cookie或不支援cookie,這種可以通過URL重寫的方式發到伺服器;

簡單來講,使用者訪問的時候說他自己是張三,他騙你怎麼辦? 那就在伺服器端儲存張三的資訊,給他一個id,讓他下次用id訪問。

3. 為什麼會有token的出現?
答:首先,session的儲存是需要空間的,其次,session的傳遞一般都是通過cookie來傳遞的,或者url重寫的方式;而token在伺服器是可以不需要儲存使用者的資訊的,而token的傳遞方式也不限於cookie傳遞,當然,token也是可以儲存起來的;

4. token的生成方式?
答:瀏覽器第一次訪問伺服器,根據傳過來的唯一標識userId,服務端會通過一些演算法,如常用的HMAC-SHA256演算法,然後加一個金鑰,生成一個token,然後通過BASE64編碼一下之後將這個token傳送給客戶端;客戶端將token儲存起來,下次請求時,帶著token,伺服器收到請求後,然後會用相同的演算法和金鑰去驗證token,如果通過,執行業務操作,不通過,返回不通過資訊;

5. token和session的區別?
token和session其實都是為了身份驗證,session一般翻譯為會話,而token更多的時候是翻譯為令牌;
session伺服器會儲存一份,可能儲存到快取,檔案,資料庫;同樣,session和token都是有過期時間一說,都需要去管理過期時間;
其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。兩者的選擇要看具體情況而定。

雖然確實都是“客戶端記錄,每次訪問攜帶”,但 token 很容易設計為自包含的,也就是說,後端不需要記錄什麼東西,每次一個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 CS 兩端的一些邏輯之外,整個資訊是自包含的。這才是真正的無狀態。 
而 sessionid ,一般都是一段隨機字串,需要到後端去檢索 id 的有效性。萬一伺服器重啟導致記憶體裡的 session 沒了呢?萬一 redis 伺服器掛了呢? 

方案 A :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是不是有效。 
方案 B :我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。 
就這麼個差別。

token的使用可以參考:json web token(JWT)