HTTP是无状态的,什么叫无状态?意思是HTTP不会记住用户,即使你刚刚才使用账号密码登录过系统,下一次请求,还得再次校验你的身份。
常用做身份校验的方式有session和token,他们有各自的优缺点,可能有人质疑说还有cookie,cookie只是用来存储数据的载体。
session认证机制
认证流程:
- 用户使用账号密码登录服务器
- 服务器生成一个session对象和与之对应的sessionid,用来记录用户的会话信息,并将sessionid返回给浏览器,浏览器可以使用cookie、localStorage或sessionStorage存储
- 浏览器下次向服务器发起请求,带上sessionid
- 服务器收到sessionid,查看是否存在与之对应的session对象,如果有,认证成功并返回数据,如果没有则要求重新登录
session对象存储在服务器端,客户端登录以后,每次请求只需带上sessionid即可完成身份认证。但是,当服务器采用分布式或集群时,用户在服务器A登录,下次请求到了另一台服务器B,就得重新登录,这是无法接受的,解决方式有以下几种:
- session保持:保证每个客户固定地访问同一台服务器
- session复制:将所有session对象复制到所有服务器
- session共享:把所有session放到同一台服务器
不管哪一种,都得付出额外的成本,并且,随着用户量增大,服务器将创建大量的session对象,对服务器来说是个负担。
token认证机制
认证流程:
- 用户使用账号密码登录服务器
- 服务器用特定的算法生成一个签名的token返回给客户端
- 客户端存储token,后续每次请求都带上token
- 服务器验证token并返回数据
和session认证不同的是,token认证机制不需要在服务器端存储任何东西,这一点来说,服务器压力不会随着用户量增加而增大。
cookie
cookie不是一种认证机制,它和localStorage以及sessionStorage才是同类,由于每次HTTP请求都会自动带上cookie,它常常被用来存储用户认证相关数据。也正是因为每次HTTP请求都会自动带上cookie,才有了CSRF问题,要解决CSRF也很简单,不要把用户认证信息存在cookie。
总结
session像花名册,每次访问服务器都要查找该客户端是否登记在册;
token像密文,每次访问服务器,服务端都要采用特定的算法校验token是否有效;
相对session来说,token是利用服务器CPU的计算时间来换取服务器存储session对象的空间。
本文GitHub链接