1、session是在用戶和服務端發生交互後對用戶身份的標識,早期的靜態網站是用不到的,其實cookie和token兩個概念都是由session引申出來的,session對應的驗證信息保存的具體地方是瀏覽器cookie(kv形式),用戶操作時傳輸的校驗信息就是token
2、session是否可以放在後端?
不可以,服務端對應的用戶數量很多,session的存儲對服務端開銷大,拓展性低,所以 session的身份標識可以分散在客戶端保存,那麼問題又來了,後端怎麼校驗當前用戶是否存在,如果每次都要再去數據庫校驗,這樣和重新登錄一樣消耗資源,還有其他兩種方法:
(1)token保存在redis裏
(2)服務端根據cookie重新生成token