1、session是在用户和服务端发生交互后对用户身份的标识,早期的静态网站是用不到的,其实cookie和token两个概念都是由session引申出来的,session对应的验证信息保存的具体地方是浏览器cookie(kv形式),用户操作时传输的校验信息就是token
2、session是否可以放在后端?
不可以,服务端对应的用户数量很多,session的存储对服务端开销大,拓展性低,所以 session的身份标识可以分散在客户端保存,那么问题又来了,后端怎么校验当前用户是否存在,如果每次都要再去数据库校验,这样和重新登录一样消耗资源,还有其他两种方法:
(1)token保存在redis里
(2)服务端根据cookie重新生成token