状态保持的常用手法，原理，以及优劣

状态保持的常用手法，原理，以及优劣

首先解释问什么要进行状态保持:
    直接原因:
        http协议是一个无状态的协议: http协议通过socket(套接字)进行通信,客户端连接服务器,一次数据传输完成之后,
        客户端会断开于服务器的连接,服务器也会销毁前一次的连接对象,因此,http协议是一个不能保持状态(无状态)的协议
        
    需求:
        我们的Web服务器总是希望能够让服务端和客户端彼此认识(保持当前的状态), 从而不至于让用户每跳转一个页面就登陆一次,造成极差的用户体验
        
手段一: Cookie
    特点
        cookie是保存在客户端的一个文本文件,一般大小单个文件大小不会超过4kb,只能存非中文和字符串类型,不能存储对象,根据操作系统和浏览器的不同,存储的位置也不尽相同,大体上存放在硬盘或内存中
    流程:    
        当浏览器向服务器发送请求后,服务器会给客户端发送一些响应信息,其中有一部分会保存在由服务器生成的文本文件(cookie)中,
        保存的信息可以是用户名,id, 浏览记录,历史记录,如果你在登录的时候选择了保存密码,那还会保存你的密码信息(之前有网站就这么干,后来连官网都被黑掉了)
        如果下一次浏览器再一次请求服务器, 就浏览器会在cookie中查找这台服务器域名下的相关信息, 附在请求中,一并发给服务器,服务器就可以解析cookie的信息,然后获知用户的身份,权限等一系列用户信息了
        
    优缺点:
        这么做优势很明显,即即可以实现状态保持,又不消耗服务器的任何存储资源(cookie存客户端了嘛), 唯一增加的是在请求时多携带了一些数据而已,这些数据小到简直可以忽略不计
        缺点也很明显: 由于cookie存储在本地,就相当于把网站的很多信息暴露给了有心之人,即使你的cookie信息加了密,那些有心之人也有办法解密,不然你觉得上面的那个网站的官网是怎么被黑掉的, 采用cookie的状态保持手段安全性相对较低
    
手段二: session
    特点:
        session是基于cookie的, session存储的容量大,可以存储对象,ession存储在服务器端,一般是内存中,或数据库中
    流程:
        当浏览器向服务器发送请求后,服务器在响应客户端的同时,会在服务器内部保存这个用户的所有登录信息,并存储起来,并根据这个用户的全部信息生成一个针对于这个用户的sessiondi,
        来唯一标识这个用户的所有信息,以形成一种一一对应关系(类似于python中的字典,一键一值的形式), 并把生成的唯一表示sessionid也响应给浏览器,浏览器接收到响应之后,会将sessionid存储在cookie中
        下一次该用户在请求这台服务器时,浏览器就会把这台服务器下的域名所对应的sessiondi连同请求一并发给服务器,服务器通过sessionid查找到这个用户,并获取用户的相关信息,如果服务器没有获取到sessionid,就说明这个用户并没有在该网站中注册
        保存用户数据,生成sessionid,并返回就行了,
        但是也会遇到一些问题,如果在浏览器端,cookie被禁用掉了,那必须得有其他的机制来确保sessionid能够准确无误的传回服务器,一般常用的方式是重写url, 这里也分为两种方式:
        一种就是sessionid当做url的附加信息进行传递如http://www.helloword.com/index;sessiondi=83re345#$@@_)*+HJTFV,
        另外一种就是把sessionid当做url的查询参数传递如: http://www.helloword.com/index?sessiondi=83re345#$@@_)*+HJTFV,
        而另一种机制是表单隐藏字段:如果服务器发现客户端禁用掉了cookie,那么服务端就会修改表单,在表单中添加一个隐藏的字段,以保存sessionid,并保证在下一次的请求中,sessionid能被回传给服务器
    优缺点:
        优点是:安全性提高了,你的用户数据存放在服务器,一般不会被人黑掉,大大提高了数据的安全性
        缺点是:服务器的存储资源那是相当的宝贵啊,前期用户量少还好说,用户量大了像Facebook,youtube,如果真的使用session的状态保持手段,服务器会被撑爆炸的,太占用服务器存储资源了
        
手段三: jwt
    特点:
        jwt本身是json类型, 由于json的通用性,jwt也是通用的,跨语言特性很好, jwt本质上是一串字符串,比较小巧,一般存放在客户端
    构成:
        1, 头部(Header) 头部是json形式,一般存放的是加密的方式和jwt的类型,
        2, 载荷(Playload) 载荷是json形式,存放的是一些基本信息, 如过期时间,要发给谁,签发者是谁,签发时间是多少
        3, 签证(signature) 签证的构成稍有复杂,将头部和载荷使用base64加密过后,同过.进行连接,并且使用header中的加密方式进行secret加盐加密,最后才得出签证的值
        4, 整个jwt看起来像是这样: eyJhbGciOiJI.eyJzdWIiOydWV9.TJVA95OrM7E2cB
        
    流程:
        当浏览器向服务器发送请求后,服务器在响应客户端的同时,会在服务器内部把用户的一些不敏感信息放入在jwt的载荷中,如id, name等,生成jwt,并将jwt一并响应给客户端,客户端接收到这个jwt之后,会存放在本地,
        以后每一次请求都会携带这个jwt,以便于保存用户的登录状态,如果用户需要登出,则把客户端的jwt删除即可,
        由于头部和载荷都是采用base64进行的加密,理所应当也可以进行解密,因此头部和载荷是不安全的,而由于签证是由加盐算法进行加密的,因此不能被篡改, 而一旦有人篡改了头部或者载荷,在服务器收到请求之后,
        服务器会把收到的载荷和头部采用相同的secret进行加盐加密,得到新的签证,如果跟老的签证不一致,则说明信息被篡改了,直接返回浏览器错误信息即可.
        
总结:
        session和cookie相比,其实是拿存储空间换取数据安全
        jwt和session,cookie相比,是以计算力(频繁的加解密)换取存储空间