登录的token和session

我只是一个小菜鸡 lv-4

登录

我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性的,单一的,它不知道上一次请求都发生了什么。在开发中,一个应用避免不了登录。在登录中我们常用到的就是 tokensession 鉴别。下面我们简单了解一下,更加理解这里面的细节。

服务端 session

session 又叫服务端的 cookie。广义上来看就是保存在了服务端。而 cookie 是在用户端来保存的。

流程:

  1. 浏览器发送账号密码,服务端查询校验

  2. 服务端保存用户登录状态, 即 session。 发送一个对应 sessionid, 即 sessionId

  3. 通过登录接口返回,把 sessionId 种到 cookie

  4. 此后 sessionId 随着 cookie。进行携带, 并比较。

因为由服务端保存,这就又带来了一些问题。

  • 需要维持很多用户,服务器是有压力的

  • 服务端并不在只有一台服务器,如何在多台服务器之间进行共享状态

第一个问题的解决就下面的 token ,就是解决方法。第二个问题:

  1. session 集中存储。如果我们用独立的 Redis 或普通数据库,就可以把 session 都存到一个数据库里。这样就能共享了。

  2. 让相同 IP 的请求在负载均衡时都打到同一台机器上。以 nginx 为例,可以配置 ip_hash 来实现。但这种方式就违背了负载均衡。 而 nginx 负载均衡的特性。是它的一大特色,也是受欢迎的原因之一。

用户端 token

为了解决上面提到的第一个问题。采用 token 是一种方式。由原来的 服务端保存转为了用户端保存。减小了服务器压力。

流程:

  1. 用户登录,服务端校验账号密码,获得用户信息

  2. 把用户信息、token 返回给用户浏览器

  3. 用户端进行管理保存,此后进行携带 token

这里由用户端进行保存,方式就有很多了, cookie , localstroage, sessionStroage

延展一下:token 里通常包含 Access TokenRefresh Token。业务接口用来鉴权使用 Access token。越是权限敏感的业务,我们越希望 Access token 有效期足够短,以避免被盗用。但这又不够友好,所以,使用 Refresh token, 来专门生成 Access Token。它的有效期长一些,在 Access Token 失效之后,用户端拿着 Refresh Token 去请求服务端生成一个新的 Access Token。 但如果两个 token 均失效,则需要重新去登录了。

看到最后了 欢迎访问我的 blog , 里面有你想要的面试信息学习指引 大厂招聘信息。同时你有什么好的信息,可以给我 pr

分类:
前端
标签:
HTTP
相关推荐
  • 一肚子顶死你
    2年前
    Node.js
    Node + Express+ Mysql + Jsonwebtoken 实现登陆token检验
    创建一个空项目,npm init -y 加载 package.json 文件。 然后添加几条数据测试用。
    • 1781
    • 评论
  • 终码一生
    1年前
    前端
    前端鉴权必须了解的 5 个兄弟:cookie、session、token、jwt、单点登录
    本文你将看到: 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,
    • 2054
    • 1
  • hannie76327
    1年前
    前端
    详解Session、Token、JWT 、OAuth2
    本文基于要理解站点怎么保存登录状态,总结了几种常用方法,并对他们相互之间进行比较,包括Session、Token、JWT、OAuth2。
    • 1809
    • 评论
  • sunzehui
    10月前
    NestJS
    在nestjs中使用token登录验证
    最近又有闲空继续完成我的项目了,今天把后台登录注册写了一下,用了传统的token登录!不会还有人不知道jwt授权吧?
    • 2053
    • 4
  • 十七喜欢前端
    6月前
    前端 JavaScript 运维
    cookie、session、token你都知道吗?(强烈推荐)
    cookie、session、token是我们前端用于与后端通信的手段之一,了解他们对我们的帮助极大,强烈建议一定要认真看完。http协议是无状态协议,cookie、、token可以帮助服务器区分用户
    • 1085
    • 评论
  • Running53
    9月前
    前端 Node.js
    Node.js<十八>——项目实战-登录准备(session-cookie和token)
    为什么需要登录凭证呢? Web开发中,我们使用最多的协议就是http,但是http是一个无状态的协议 http的每次请求对于服务器来说都是一个单独的请求,和之前请求过什么没有关系,也就是说服务器不知道
    • 722
    • 评论
    Node.js<十八>——项目实战-登录准备(session-cookie和token)
  • 后端研究所
    1年前
    后端 面试
    图解|cookie、session、token的那些事儿
    大家好,我是所长大白(●—●)。 今天和大家聊一下关于cookie、session、token的那些事儿。 话不多说,直接开车。 1. 网站交互体验升级 作为网友的我们,每天都会使用浏览器来逛各种网站
    • 650
    • 评论
  • CharTen
    1年前
    Node.js
    jwt生成的token,应该存在哪里?
    早上逛某乎的时候,遇到一位同学在问这个问题,很好奇jwt的存储位置。刚好前段时间在学习此内容,不请自邀,厚颜强答。
    • 2.7w
    • 65
  • hresh
    3月前
    安全
    认证与授权之Cookie、Session、Token、JWT
    在互联网应用开发中,主要通过下面几种方式实现授权:Session、Cookie和Token,本文将详细介绍三者间的区别,以及比较火热的JWT是怎么一回事。
    • 1546
    • 2
  • 王中阳Go
    3月前
    后端 Go 掘金·金石计划
    【视频+源码】登录鉴权的三种方式:token、jwt、session实战分享
    如果你在登录鉴权方面有很高的要求,比如要和灰产斗智斗勇,那么建议你自己深入了解OAuth原理。我既对接过session、cookie,也对接过JWT,今年因为工作需要也对接了gtoken的2个版本。
    • 5443
    • 2
    【视频+源码】登录鉴权的三种方式:token、jwt、session实战分享
  • 无糖的酸奶
    5月前
    JavaScript 面试
    你登录了吗?- 聊一聊 cookie , session , token
    HTTP是无状态的。随着网络的发展,出现了 cookie , session ,token等 。那么它们分别是什么,又有什么优缺点呢
    • 1070
    • 1
  • Meng
    1年前
    测试
    Cookie、Session、Token的区别
    Cookie、Session、Token的区别 Cookie、Session和Token都是用来做持久化处理的,目的就是让客户端和服务端互相认识。HTTP请求默认是不持久的,没有状态的,谁也不认识谁的
    • 1320
    • 评论
    Cookie、Session、Token的区别
  • 华为云开发者联盟
    2月前
    前端
    cookie、session,、token,还在傻傻分不清
    session 和 token 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已。
    • 792
    • 评论
    cookie、session,、token,还在傻傻分不清
  • 追旅
    1年前
    Node.js 前端
    登录校验-session、token
    更多文档 前言 小一个月没有写博客了,因为最近一直在忙项目和低代码平台的研究,低代码的服务端是用node去实现的,碰到的第一个问题就是登录校验的问题,这里做一下分享 session 先简单了解一下se
    • 1391
    • 评论
  • StevenUV
    1年前
    前端
    自动登录与 token 过期
    为了使用户登录体验更友好,之前做了个自动登录的优化。 实现方式为:在用户登录成功时,将 token 存入 cookie ;当用户下次来到本网站,读取 cookie 中的 token 时,自动登录。退出
    • 3776
    • 5
  • 牧少
    1年前
    后端
    浅析认证授权的三种方式(session、token、JWT)
    讲述了认证与鉴权的概念。理清了三种鉴权凭证的颁发方式,分别是基于单机的session、需要存储的token与无需存储的JWT。
    • 3134
    • 1
  • See_you
    1年前
    Node.js
    nodejs中session与token的区别 | 8月更文挑战
    首先我们要清楚session与token的实现思想 session 思想 1、客户端用户名跟密码请求登录 2、服务端收到请求,去库验证用户名与密码 3、验证成功后,服务端种一个cookie或发一个字符
    • 601
    • 评论
  • 掘了
    1年前
    axios Vuex
    Vue 项目中用户登录及 token 验证的思路
    导航守卫仅仅简单判断是否有 token 值存在(不管该 token 是否有效),如果不存在/失效就进行重定向。 请求拦截器是向后端发送请求并校验,如果 token 合法就访问成功,否则访问失败并进行重
    • 2999
    • 7
    Vue 项目中用户登录及 token 验证的思路
  • 终码一生
    10月前
    后端
    JWT 登录认证及 token 自动续期方案解读
    过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块: 今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战
    • 4829
    • 11
  • ALKAOUA
    1年前
    浏览器
    浏览器系列 -- cookie、session、Token、JWT及对应的登录态机制
    首先清楚三个概念: 认证 通俗地讲就是验证当前用户的身份,证明“你是你自己” 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 授权
    • 1016
    • 评论

    • 友情链接:

    前端小菜鸡 @ 快乐新球前端团队
    私信
    获得点赞  389
    文章被阅读  50,926
    相关文章
    看完这篇 Session、Cookie、Token,和面试官扯皮就没问题了
    946点赞
     · 
    51评论
    前端er应该懂的登录态:Cookie、Session和Token
    45点赞
     · 
    3评论
    前端鉴权的兄弟们:cookie、session、token、jwt、单点登录
    1014点赞
     · 
    76评论
    Vue新玩具VueUse
    292点赞
     · 
    64评论
    登录校验-session、token
    12点赞
     · 
    0评论