1. 爲什麼要有session的出現?
答:是由於網絡中http協議造成的,因爲http本身是無狀態協議,這樣,無法確定你的本次請求和上次請求是不是你發送的。如果要進行類似論壇登陸相關的操作,就實現不了了。
2. session生成方式?
答:瀏覽器第一次訪問服務器,服務器會創建一個session,然後同時爲該session生成一個唯一的會話的key,也就是sessionid,然後,將sessionid及對應的session分別作爲key和value保存到緩存中,也可以持久化到數據庫中,然後服務器再把sessionid,以cookie的形式發送給客戶端。這樣瀏覽器下次再訪問時,會直接帶着cookie中的sessionid。然後服務器根據sessionid找到對應的session進行匹配;
還有一種是瀏覽器禁用了cookie或不支持cookie,這種可以通過URL重寫的方式發到服務器;
簡單來講,用戶訪問的時候說他自己是張三,他騙你怎麼辦? 那就在服務器端保存張三的信息,給他一個id,讓他下次用id訪問。
3. 爲什麼會有token的出現?
答:首先,session的存儲是需要空間的,其次,session的傳遞一般都是通過cookie來傳遞的,或者url重寫的方式;而token在服務器是可以不需要存儲用戶的信息的,而token的傳遞方式也不限於cookie傳遞,當然,token也是可以保存起來的;
4. token的生成方式?
答:瀏覽器第一次訪問服務器,根據傳過來的唯一標識userId,服務端會通過一些算法,如常用的HMAC-SHA256算法,然後加一個密鑰,生成一個token,然後通過BASE64編碼一下之後將這個token發送給客戶端;客戶端將token保存起來,下次請求時,帶着token,服務器收到請求後,然後會用相同的算法和密鑰去驗證token,如果通過,執行業務操作,不通過,返回不通過信息;
5. token和session的區別?
token和session其實都是爲了身份驗證,session一般翻譯爲會話,而token更多的時候是翻譯爲令牌;
session服務器會保存一份,可能保存到緩存,文件,數據庫;同樣,session和token都是有過期時間一說,都需要去管理過期時間;
其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。兩者的選擇要看具體情況而定。
雖然確實都是“客戶端記錄,每次訪問攜帶”,但 token 很容易設計爲自包含的,也就是說,後端不需要記錄什麼東西,每次一個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 CS 兩端的一些邏輯之外,整個信息是自包含的。這纔是真正的無狀態。
而 sessionid ,一般都是一段隨機字符串,需要到後端去檢索 id 的有效性。萬一服務器重啓導致內存裏的 session 沒了呢?萬一 redis 服務器掛了呢?
方案 A :我發給你一張身份證,但只是一張寫着身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是不是有效。
方案 B :我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。
就這麼個差別。