http是无状态的,即请求之间是相互独立的;即提供用户名/密码验证后,下次还需要再次提供
而cookie就是解决这个问题的
cookies
服务器验证通过后,在响应头中设置set-cookies,浏览器就会把cookies写入本地
客户端之后请求时,就会自动带上cookies,服务器端验证即可
缺点:
但cookies中的信息都是暴露的,不安全
session
服务器验证通过后,在浏览器上写入的是sid,这个sid在服务器的数据库中对应着这此用户的信息
sid是无意义的字符串,浏览器只保存着sid
缺点:
session保存在服务器端,通常在内存中,认证用户增多后会对服务器造成压力
在分布式系统中,用户在哪台服务器登陆的,以后就必须一直在这台服务器上验证,这就限制了负载均衡
jwt(json web token)
保存在浏览器端
过程:
1.用户登录请求,根据user模型,将user_id/username/expire作为载荷(django中),产生jwt-token
2.浏览器将token保存(可以保存在cookie中,也可以保存在本地存储中)
本地存储提供两种方式:localStorage,长期有效;sessionStorage,关闭浏览器失效
3.之后客户端发起请求时,在请求头中带上token供服务器端验证
jwt-token的构成,分为三部分
1.头部header,申明了类型即jwt和后面要用的加密方式;定义时为字典,后用base64编码形成第一部分
{ 'typ': 'JWT', 'alg': 'HS256' }base64编码:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2.载荷payload,主要存放用户信息;定义时为字典,后用base64编码形成第二部分
{ "sub": "1234567890", "name": "John Doe", "admin": true }base64编码:eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
3.签名signature,将前两部分用 . 连接,用头部申明的加密方式和secret组合加密,产生第三部分
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload); var signature = HMACSHA256(encodedString, 'secret');TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
4.将这三部分用 . 连接成一个完整的字符串,构成了最终的jwt
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
secret是保存在服务器端的,是用来签名和验签的,所以secret_key至关重要,相当于服务器的私钥,客户端要是拿到了secret_key就可以给自我签发jwt了(基本只要拿到简单的信息就可以模拟别人登录);所以绝对不能泄露出去
优点:
保存在客户端,减轻服务器压力,不影响负载均衡
可以在payload中放一些不敏感的数据