用户和服务器通过发送http请求进行交互,而http是一个无状态协议,也就是说这一次请求和上一次的请求之间是没有任何关系的。为了让服务器知道是同一个用户端发送的请求,我们可以通过浏览器保存一些信息,每次发送请求的时候都带到服务器端,服务端根据这些信息来判断是不是同一个用户进行的访问。
cookie和session
客户端访问服务端的流程为:
- 客户端发送一个http请求到服务器端。
- 服务器端接收请求后,分配给该客户端一个session空间,并发送一个http响应到客户端,这个响应头,其中包含了Set-cookie头部,该头部包含了sessionid。
- 当客户端再次发送请求时,cookie会被自动带到服务器端。
- 服务器收到cookie后解析出sessionId,再去session列表中查找,找到相应的session,也就是找到了相应的客户端。
node中使用cookie-session 中间件判断用户的状态
如果清除了浏览器的数据,相当于把cookie也清了,那么你的sessionId也就没有了,所以当你再次请求的时候服务器无法获得你的cookie,也就没有办法获取sessionid(如果你的sessionid是存在url里的,那种情况除外),相应地,也就找不到对应的session,不能对当前请求用户的状态进行判断。
注意:cookie只是实现session的一种方案,虽然是最常用的,但是并不是唯一的方法,禁用cookie后,还有其他方法对sessionid进行存储,比如可以放在url中。
cookie
- cookie实际上是一小段的文本信息。由服务器生成,发送给浏览器。
- cookie也可以由javascript 在客户端中进行存储。
- 当浏览器再次请求该网站时,浏览器把请求连同该cookie一同提交给服务器。
- cookie类似一个令牌,装有sessionId,存储在客户端。
- 服务器根据cookie 携带的sessionid 来获取对应的session,以此来辨认用户状态。
点击查看更多关于cookie的详细内容
session
- session表示服务器与浏览器的一次会话过程,这个过程是连续的,也可以时断时续。
- 当客户端浏览器访问服务器的时候,服务器会在内存为该浏览器分配一个空间,这个空间就是session。
- 每一个客户端都有唯一的sessionid。
- session的创建与使用总是在服务端,浏览器从来都没有得到过Session对象。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要根据sessionid查询客户档案表就可以了。
token
token 也称作令牌,是用户身份的验证方式。由 uid+time+sign[+固定参数] 组成。
token的认证流程和cookie很相似,唯一不同的是cookie数据始终在同源的http请求中携带(即使不需要),而token数据是手动发送给服务端。
token的组成
- uid: 用户唯一身份标识
- time: 当前时间的时间戳
- sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接
- 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库
token在客户端一般存放于localStorage或sessionStorage中。在服务器一般存于数据库中。
token的认证流程
JSON Web Token(缩写 JWT)就是使用token来抵御CSRF攻击。
在用户登录成功后,返回一个随机token给浏览器,当每次用户发送请求的时候,将token 主动发送给服务器端,服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
总结
- cookie类似一个令牌,装有sessionId,每一个客户端有自己唯一的cookie,存储在客户端,始终在同源的http请求中携带。
- session存储于服务器,是一个容器,存放唯一的客户端。
- 服务器根据cookie中的sessionid,去找对应的session,以此来辨认用户状态。
- token与cookie类似,每一个客户端有自己唯一的token。不同于cookie的是它需要开发者手动添加到请求头中。
