当前位置:网站首页>session-cookie与token

session-cookie与token

2022-07-02 06:41:00 大鸡腿最好吃

session-cookie

利用服务器的session和浏览器的cookie来实现前后端认证的,在服务器创建的session集合,将同一个客户端的请求都维护在各自的session中,每当服务器接收到浏览器的cookie请求时,会在session集合中查询对应的s_id,如果有就确认身份成功。

在这里插入图片描述

缺点:

服务端需要存储Session,并且由于Session需要经常快速查找,通常存储在内存或内存数据库中,同时在线用户较多时需要占用大量的服务器资源。

易受到CSRF攻击:基于cookie的一种跨站伪造攻击,基于cookie来进行识别用户的话,用户本身就携带了值,cookie被截获,用户就很容易被伪造;
扩展不好:当需要扩展时,创建Session的服务器可能不是验证Session的服务器,所以还需要将所有Session单独存储并共享。

Token认证

Token验证也叫令牌,是一种无状态身份验证方式,不用将用户信息存在服务器或Session中去除了服务器内耗问题;当用户第一次登录时,服务器生成一个token并返回客户端,除用户端将保存的token失效或者删除之外,在接下来的请求时,只要带着这个令牌请求数据即可。

1.用户通过用户名和密码发送请求;
2.程序验证;
3.程序返回一个签名的token 给客户端;
4.客户端储存token,并且每次请求都会附带它;
5.服务端验证token并返回数据。

优点

  1. 服务端不需要存储和用户鉴权有关的信息,鉴权信息会被加密到Token中,服务端只需要读取Token中包含的鉴权信息即可。
  2. 避免了共享Session导致的不易扩展的问题。
  3. 不需要依赖Cookie,有效的避免Cookie带来的CSRF攻击问题
  4. 使用CORS可以快速解决跨域问题。

原网站

版权声明
本文为[大鸡腿最好吃]所创,转载请带上原文链接,感谢
https://blog.csdn.net/m0_59070120/article/details/125530399

边栏推荐

猜你喜欢

随机推荐