- 为什么会有登录这回事
首先这是因为http是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了。所以,登录就是用某种方法让服务器在多次请求之间能够识别出你,而不是每次发请求都得带上用户名密码这样的识别身份的信息。
- 常见的两种登录 服务器session+客户端sessionId
- 客户端带着用户名和密码去访问 /login 接口,服务器端收到后校验用户名和密码,校验正确就会在服务器端存储一个sessionId和session的映射关系,服务端在session中储存用户的相关信息
- 服务器端返回response,并且将sessionId以set-cookie的方式种在客户端,这样一来,sessionId就存在了客户端。这里要注意的是,将sessionId存在cookie并不是一种强制的方案,而是大家一般都这么做,而且发请求的时候符合domain和path的时候,会自动带上cookie,省去了手动塞的过程。
- 客户端发起非登录请求时,服务端通过cookie中的sessionId找到对应的session来知道此次请求是谁发出的。
token
前面说到sessionId的方式本质是把用户状态信息维护在server端,token的方式就是把用户的状态信息生成一串token传给前端,然后每次发请求时把token带上,传回给服务器端;服务器端收到请求之后,解析token并且验证相关信息; 所以跟第一种登录方式最本质的区别是:通过解析token的计算时间换取了session的存储空间 业界通用的生成方式是jwt(json web token)
- 两种登录方案存在的问题 session
- session方式由于会在服务器端维护session信息,单机还好说,如果是多机的话,服务器之间需要同步session信息,服务横向扩展不方便。
- session数量随着登录用户的增多而增多,存储会增加很多。
- session+cookie里面存sessionId的方式可能会有csrf攻击的问题,常见的方式是使用csrf_token来解决
jwt方式
- jwt的过期时间需要结合业务做设置,而且jwt一旦派发出去,后端无法强行使其作废
