[网络协议]cookie session token 的理解

由于http是无状态的协议。什么是无状态的协议？

就是向同一个服务器发的多个请求之间是没有关系的

假如你正在某个购物商城购物，你的登录、搜索、下单、支付等操作，服务器不知道这些操作是否来源于同一个用户。

因此诞生了这些鉴权方式

cookie

由服务端保存在客户端的一小段文本信息，格式是键值对

分类：

会话级cookie:保存在内存中，浏览器页面关闭即消失；

持久级cookie:保存在硬盘中，不会随浏览器窗口的关闭而关闭

格式组成：

name:

value:

path: 作用路径

expires:失效时间

Http-only:可以由服务端设置，也可以由客户端设置，是一种安全设置，可防御CSRF攻击（原理就是：攻击者可以拿到cookie，但是不能使用cookie）

鉴权方式：

step1:客户端第一次访问服务器时，服务器会在响应头中set-cookie中设置cookie，然后在客户端进行存储。

step2:在之后访问服务器中，都会在请求头中自动携带保存在客户端的cookie，然后和服务端的cookie进行对比，验证是否为同一个操作用户

缺点：

由于这个cookie是保存到客户端中的，对于密码这些敏感信息而言，cookie保存很不安全，黑客很容易拿到这些信息，

由此就想到--能不能把不重要的信息保存在客户端，而把重要的敏感信息保存到服务端呢？由此产生了session

session

step1:当客户端请求服务器时，服务器会生成sessionid,并且保存到服务器，然后在响应里面就会把sessionid 通过cookie传输给客户端；

step2:后面所有的请求都会在请求头cookie里面带上sessionid,然后和服务器的sessionid进行对比实现鉴权(sessionid的鉴权依赖于cookie)

在实际应用中，cookie和sessionid配合使用，如果全部使用cookie的话，全部都保存在客户端，如果都使用sessionid，服务端就需要保存大量数据，给服务器带来很大压力

token

也称令牌

为什么引入token?

当客户端频繁向服务端发请求时，服务端会频繁去查数据库进行对比，判断用户和密码是否正确，给服务器带来很大压力

token就是由服务端生成的一串字符串，以作为客户端进行请求的一个令牌，第一次登录成功后，服务端便会生成一个token,并将此token返回给客户端，以后客户端只需要带上这个token来请求数据即可

目的：减轻服务器的压力。减少频繁查询数据库

鉴权流程：

1 客户端使用用户名和密码请求登录

2 服务端收到请求，去验证用户名和密码

3 验证成功后，服务端会签发一个token，再把这个token 发送给客户端

4 客户端收到token后可以把它存储起来，比如放到cookie里或者localstorage中

5 客户端每次向服务端请求资源时需要带着服务端签发的token

6 服务端收到请求，然后去验证客户端请求里面带着的token,如果验证成功，就向客户端返回请求的数据

Cookie 和 Session 的区别

• 安全性：Session 比 Cookie 安全，Session 是存储在服务器端的，Cookie 是存储在客户端的。
• 存取值的类型不同：Cookie 只支持存字符串数据，想要设置其他类型的数据，需要将其转换成字符串，Session 可以存任意数据类型。
• 有效期不同： Cookie 可设置为长时间保持，比如我们经常使用的默认登录功能，Session 一般失效时间较短，客户端关闭（默认情况下）或者 Session 超时都会失效。
• 存储大小不同： 单个 Cookie 保存的数据不能超过 4K，Session 可存储数据远高于 Cookie，但是当访问量过多，会占用过多的服务器资源。