日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
熬夜徹底搞懂CookieSessionTokenJWT

本文轉(zhuǎn)載自微信公眾號「愛笑的架構(gòu)師」,作者雷小帥 。轉(zhuǎn)載本文請聯(lián)系愛笑的架構(gòu)師公眾號。

一切的根源就是因為 HTTP 是一個無狀態(tài)的協(xié)議。

HTTP 是一個無狀態(tài)的協(xié)議

什么是無狀態(tài)呢?就是說這一次請求和上一次請求是沒有任何關(guān)系的,互不認(rèn)識的,沒有關(guān)聯(lián)的。

看過電影《夏洛特?zé)馈返男』锇榭隙ㄓ浀孟穆搴痛鬆數(shù)囊欢螌υ挘?/p>

夏洛:大爺,樓上322住的是馬冬梅家嗎?

大爺:馬冬什么?

夏洛:馬冬梅。

大爺:什么冬梅啊?

夏洛:馬冬梅啊。

大爺:馬什么梅啊?

夏洛:……行,大爺,您先涼快吧。

「打岔」大爺記不住馬冬梅,就如同 HTTP 協(xié)議記不住上一次請求。說得通俗一點(diǎn):HTTP 的記憶力不太好,需要借助『助聽器』。

記憶力不好的優(yōu)點(diǎn)就是一個字「快」;缺點(diǎn)也很明顯,需要借靠 cookie、session 、token等機(jī)制將客戶端多次請求關(guān)聯(lián)起來。

想象一下如果沒有 cookie、session、token 這樣的機(jī)制,我們在網(wǎng)站上每次點(diǎn)擊都需要重新輸入密碼認(rèn)證,這樣槽糕的體驗?zāi)氵€愿意繼續(xù)用嗎?

在講解cookie、session 、token前我們先簡單講解兩個概念:認(rèn)證、授權(quán)。

什么是認(rèn)證?

認(rèn)證(Authentication)簡單來講就是驗證當(dāng)前者的身份,證明你是你自己。

最常見的認(rèn)證方式是通過用戶名和密碼,除此之外還有:

  • 通過用戶手機(jī):手機(jī)短信、手機(jī)二維碼掃描、手勢密碼
  • 用戶的電子郵箱
  • 身份證號碼
  • 基于時間序列和用戶相關(guān)的一次性口令
  • 用戶的生物學(xué)特征:指紋、語音、眼睛虹膜等

為了確認(rèn)用戶的身份,防止請求偽造,在安全要求高的場合,經(jīng)常會使用組合認(rèn)證(也叫多因素認(rèn)證),也就是同時使用多個認(rèn)證方式對用戶的身份進(jìn)行校驗。

什么是授權(quán)?

授權(quán)(Authorization)簡單來講就是授予第三方訪問用戶資源的權(quán)限。

在互聯(lián)網(wǎng)應(yīng)用開發(fā)中,主要通過下面幾種方式實現(xiàn)授權(quán):

  • 通過 session 機(jī)制,一個訪問會話保持著用戶的授權(quán)信息
  • 通過 cookie 機(jī)制,一個網(wǎng)站的 cookie 保持著用戶的授權(quán)信息
  • 頒發(fā)授權(quán)令牌(token),一個合法有效的令牌中保持著用戶的授權(quán)信息

什么是 cookie?

cookie 的特點(diǎn)

  • cookie 最開始被設(shè)計出來是為了彌補(bǔ)HTTP在狀態(tài)管理上的不足。
  • cookie 存儲在客戶端:cookie 是服務(wù)器發(fā)送到用戶瀏覽器并保存在本地的一小塊數(shù)據(jù),它會在瀏覽器下次向同一服務(wù)器再發(fā)起請求時被攜帶并發(fā)送到服務(wù)器上。
  • cookie 是不可跨域的:每個 cookie 都會綁定單一的域名(包括子域),無法在別的域名下獲取使用。

設(shè)置 cookie

服務(wù)器向客戶端發(fā)送 Cookie 是通過 HTTP 響應(yīng)報文實現(xiàn)的,在 Set-Cookie 中設(shè)置需要向客戶端發(fā)送的cookie,cookie格式如下:

  
 
 
 
    
   
  
  
  
  1. Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure] 
    2.

cookie 工作流程

(1)瀏覽器向服務(wù)器發(fā)送請求;

(2)服務(wù)器響應(yīng)請求,向瀏覽器設(shè)置 cookie;

(3)瀏覽器將 cookie 存在本地,下一次請求帶上該 cookie;

(4)服務(wù)器響應(yīng)請求。

cookie 常見屬性

(1)name=value

鍵值對,設(shè)置 Cookie 的名稱及相對應(yīng)的值。

(2)domain

指定 cookie 所屬域名,默認(rèn)是當(dāng)前域名。如果 cookie 的 domain 設(shè)置為 taobao.com,那么 item.taobao.com, order.taobao.com 都是可以共享 cookie 的, 但是訪問 tmall.com 就不能共享 cookie 了,這就涉及跨域訪問的問題,跨域問題如何解決,這里不展開,有興趣可以自行搜索。

(3)path

指定 cookie 在哪個路徑(路由)下生效,默認(rèn)是 '/'。如果設(shè)置為 /abc,則只有 /abc 下的路由可以訪問到該 cookie,如:/abc/read。

(4)expires

指定 cookie 的過期時間(GMT時間格式),到達(dá)該時間點(diǎn)后該 cookie 就會自動失效。

(5)max-age

HTTP 1.1中定義的,優(yōu)先級高于 expires 字段。

max-age 表示 cookie 有效期,單位秒。如果為正數(shù),則該 cookie 在 max-age 秒后失效;如果為負(fù)數(shù),該 cookie 為臨時 cookie ,關(guān)閉瀏覽器即失效,瀏覽器也不會以任何形式保存該 cookie ;如果為 0,表示刪除該 cookie 。默認(rèn)為 -1。

(6)HttpOnly

如果給某個 cookie 設(shè)置了 httpOnly 屬性,則無法通過 JS 腳本讀寫該 cookie 的信息。

(7)secure

該 cookie 是否僅被使用安全協(xié)議傳輸,默認(rèn)為false。當(dāng) secure 值為 true 時,cookie 在 HTTP 中是無效的。

什么是 session?

session 翻譯過來就是『會話』。用戶打開一個瀏覽器, 點(diǎn)擊多個超鏈接, 訪問服務(wù)器多個web資源, 然后關(guān)閉瀏覽器, 整個過程稱之為一個會話。

(1)session 的特點(diǎn)

session 是另一種記錄服務(wù)器和客戶端會話狀態(tài)的機(jī)制;

session 存儲在服務(wù)器端,一般是文件中,也可以存在數(shù)據(jù)庫或緩存中。

session 一般基于 cookie 實現(xiàn)。session 中包含敏感信息存儲在服務(wù)器端,通常將 sessionId 存儲在客戶端的 cookie 中,客戶端每次請求攜帶 sessionId 即可識別用戶。

(2)session 工作流程

(1)用戶第一次請求,提交用戶名密碼等信息進(jìn)行登錄認(rèn)證,服務(wù)器根據(jù)用戶提交的信息進(jìn)行鑒權(quán),鑒權(quán)成功后創(chuàng)建 session 對象,并將 sessionId 塞入 cookie 中,瀏覽器收到響應(yīng)信息將 cookie 存入本地;

(2)用戶第二次請求,以查看訂單信息為例,瀏覽器自動將當(dāng)前域名下的 cookie 信息發(fā)送給服務(wù)端,服務(wù)端解析 cookie,獲取到 sessionId 后再查找對應(yīng)的 session 對象,如果 session 對象存在說明用戶已經(jīng)登錄,繼續(xù)下一步操作。

從上面的流程可知,sessionId 是 cookie 和 session 中間的一道橋梁。

需要注意:如果客戶端禁用了 cookie,還可以通過 url 重寫等方法傳遞 sessionId。

cookie 和 session 的區(qū)別

  • 存儲方式:cookie 數(shù)據(jù)存放在客戶的瀏覽器上,session 數(shù)據(jù)放在服務(wù)器上;
  • 安全性:cookie 是本地存儲,不是很安全,別人可以分析存放在本地的 cookie 并進(jìn)行欺騙;
  • 存儲大?。汉芏酁g覽器限制單個 cookie 保存的數(shù)據(jù)不能超過4K,一個站點(diǎn)最多保存20個cookie,session 沒有類似的限制;
  • 生存周期:cookie 可設(shè)置為長時間保持,Session 一般失效時間較短,一般客戶端關(guān)閉 session 就會失效。

什么是 token ?

(1)token 的組成

token 是驗證用戶身份的憑證,我們通常叫它:令牌。

最簡單的token組成: uid(用戶唯一的身份標(biāo)識)、time(當(dāng)前時間的時間戳)、sign(簽名,以哈希算法壓縮成一定長的十六進(jìn)制字符串)

(2)token 特點(diǎn)

  • 無狀態(tài)、可擴(kuò)展
  • 支持移動端設(shè)備
  • 支持跨程序調(diào)用
  • 安全

(3)token 工作流程

第一步:客戶端使用用戶名密碼或者掃碼等形式請求登錄;

第二步:服務(wù)端收到請求后進(jìn)行鑒權(quán),鑒權(quán)成功后服務(wù)端會生成一個 token 并發(fā)送給客戶端,客戶端收到 token 以后,會把它存儲起來,比如放在 cookie 里或者 localStorage 里;

第三步:客戶端下一次向服務(wù)端請求資源的時候需要帶著存儲的 token;

第四步:服務(wù)端收到請求,然后去驗證客戶端請求里面帶著的 token ,如果驗證成功,就向客戶端返回請求的數(shù)據(jù)。

需要注意:

  • 客戶端請求時可以將 token 放到 HTTP 的 Header 里;
  • 基于 token 的用戶認(rèn)證是一種服務(wù)端無狀態(tài)的認(rèn)證方式,服務(wù)端不用存放 token 數(shù)據(jù)。
  • 用解析 token 的計算時間換取 session 的存儲空間,從而減輕服務(wù)器的壓力,減少頻繁的查詢數(shù)據(jù)庫

什么是 JWT?

(1)JWT 是標(biāo)準(zhǔn) 化的 token

從本質(zhì)上講 JWT 也是一種 token,只不過 JWT 是被大家廣泛接受的標(biāo)準(zhǔn)。

JWT 即:Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于 JSON 的開放標(biāo)準(zhǔn)(RFC 7519)。

JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息,以便于從資源服務(wù)器獲取資源,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息。

(2)JWT 的組成

JWT 共有三部分組成:

  • 第一部分我們稱它為頭部(header)
  • 第二部分我們稱其為載荷(payload, 類似于飛機(jī)上承載的物品)
  • 第三部分是簽證(signature)

在https://jwt.io/網(wǎng)站上可以解析一個已知的 JWT:

  • header

jwt的頭部承載兩部分信息:聲明類型,這里是jwt;聲明加密的算法,通常直接使用 HMAC SHA256;

  • playload

載荷就是存放有效信息的地方。主要包含三個部分:標(biāo)準(zhǔn)中注冊的聲明;公共的聲明;私有的聲明。

  • signature

jwt 的第三部分是一個簽名信息,這個簽證信息由三部分組成:header (base64后的);payload (base64后的);secret。

(3)JWT 的特點(diǎn)

不在 jwt 的 payload 部分存放敏感信息,因為該部分是客戶端可解密的部分。

保護(hù)好 secret 私鑰,該私鑰非常重要。

如果可以,請使用 https 協(xié)議。

總結(jié)

在分布式微服務(wù)技術(shù)日趨流行的今天,大型網(wǎng)站的設(shè)計都盡量避免使用 session 實現(xiàn) HTTP 狀態(tài)化。

session簡單粗暴,在服務(wù)端維護(hù)會話信息,在客戶端保存session id,服務(wù)端能夠輕易地把會話控制在自己的手中,但服務(wù)集群化產(chǎn)生了session共享的負(fù)擔(dān);

jwt(token)只在客戶端保存會話信息,服務(wù)端通過密鑰校驗會話,(相比session)拿時間換空間,卸下了服務(wù)端集群共享會話信息的負(fù)擔(dān),同時也加大了服務(wù)端控制會話的難度。


當(dāng)前文章:熬夜徹底搞懂CookieSessionTokenJWT
轉(zhuǎn)載源于:http://www.5511xx.com/article/djheecc.html