使用场景和优缺点对比
cookie+session
优点:
1.一般的web应用服务器都内置了对cookie+session的处理,不需要后端及前端开发人员理解交互逻辑,只需要简单地调用一个api即可完成认证,方便使用。
2.服务端可以控制cookie+session机制的有效回话时间。
缺点:
1.传统的cookie+session一般都将认证信息存储在内存当中,当服务器重启时就会丢失信息,导致所有用户都需要重新登陆。
2.由于信息保存在内存中,当一个服务器开启集群时,如果集群使用nginx等负载均衡服务器,会导致用户在A服务器登录,认证信息保存在A服务器上,但是请求接口路由到了B服务器上,但是B服务器没有用户的登录信息,导致用户会话失效又需要重新登陆,造成不好的体验,此种方式虽然可以通过ip hash来解决,但是达到负载均衡应有的效果大打折扣。【分布式cookie】
3.浏览器端一旦禁用cookie,将会造成用户会话永久失效,因为发起的请求中没有cookie,服务端将无法识别用法。
cookie+session更适合用于单体web服务,在tomcat+jsp或者其它这种前后端没有分离的项目中用的比较多。
代码:
controller:接口层,负责接收前端传过来的参数
service:业务逻辑的处理
dao:负责和数据交互,保存数据、返回数据都是D层做的
model:载体
filter:拦截器
util:工具
config:web服务的配置
P2
cookie
cookie就是存储在浏览器上的数据
只要电脑被黑,在cookie里的重要信息就会被泄露,于是就出现了session
session
服务器在发送cookie之前是会对这个含有sessionID的cookie进行签名
secret属性的值是给session ID cookie签名的值
name属性就是设置cookie里的name,默认是connect.sid
随着用户越来越庞大,session存储越来越大,也影响到了负载均衡,各种原因之下,出现了JWT json web token
JWT(json web token)
服务器不保存JWT,只需要保存JWT签名的密文
header部分声明需要什么算法来生成签名
payload部分是一些特定的数据,比如有效期之类的
session是保存在服务器端的,token是保存在浏览器的cookie或者storage中
P3
JWT
与普通token一样都是访问资源的令牌,都可以记录用户信息,都是只有验证成功后才可以获取信息。
不同的是普通token服务端验证token信息要进行数据的查询操作,JWT验证token信息就不用,在服务端使用密钥校验就可以,不用数据库的查询。
