HTTP是一个“无状态”协议,无法记录用户登录信息,也无法跟踪用户的活动。因此,需要一些机制来为HTTP请求提供状态。
cookie session token
Cookie是服务器通知浏览器保存键值对的一种技术,保存在浏览器中。 Token在服务器中产生,保存在浏览器的Cookie或者Storage中。 Session在完全由服务器管理的一种技术,产生并保存在服务器内存中。
Cookie和Token常用于在浏览器端保存用户信息。 Session常用于在服务端记录用户状态。
服务器与浏览器维持会话的技术:
浏览器第一次发送请求时,服务器调用req.getsession()方法创建一个session对象,保存到服务器内存中,并将随之生成的SessionId在返回响应时通过setCookie的方式发送给浏览器保存。 浏览器将sessionId保存在cookie中。 以后,每次浏览器发送请求(cookie在每次请求时都会发送给服务器),服务器会验证cookie中存放的sessionId,并返回session对象,即维持了与浏览器的会话。
基于cookie的身份验证
服务端需要事先在数据库中存储用户的信息,登录名和密码。
验证的一般流程如下: 用户输入登陆信息; 服务器验证信息是否正确,并创建会话(Session对象,包括SessionId和User属性), 然后把Session对象存储在数据库中(或者服务器内存); 具有SessionId和生命周期(max_age) 的cookie被存放在用户浏览器中; 在后续请求中,服务器会验证请求中的SessionId,如果验证通过,则继续处理;否则,服务器创建新的会话对象。 一旦用户登出,服务端和客户端同时销毁该会话。
在此过程中,服务端会存储Session对象,占用大量的服务端资源。
基于token的身份验证
注:讨论基于token的身份验证时,一般都是说的JSON Web Tokens(JWT)。
基于token的验证是无状态的。服务器不记录哪些用户已登陆,只会保存一个JWT签名的密文(字符串)。浏览器对服务器的每个请求都需要带上验证请求的token。
工作流程如下:
用户输入登陆凭据; 服务器验证凭据是否正确,然后返回客户端一个经过签名的token,服务端保存一个JWT签名的密文; 客户端负责存储token,可以存在storage,或者cookie中; 每次对服务器的请求都要带上这个token; 服务器对token进行解码,如果token有效,则处理该请求; 一旦用户登出,客户端销毁token。
Session的应用:加入购物车
浏览器第一次向服务端发送请求时,服务端创建Session对象, 加购时在Session对象中创建购物车对象,req.setSession.setAttribute(“cart”,cart), 然后在购物车对象中添加商品项,实现加购操作, 在生成订单时,要求用户登录,并在Session对象中记录user信息, 根据cart和user信息,生成订单,和userId绑定,保存到数据库。
|