web構建在http之上,而它又是無狀態協議,如何控制使用者訪問伺服器上的受限資源呢?
最原始你想法通過http基本認證,每次發請求時都向後台傳遞使用者名稱密碼資訊,伺服器每次收到請求後都先驗證使用者是否合法,不安全,效率低。
基於session認證,過去大多數系統採用,使用者初次認證後會在服務端生成乙個session物件,然後把sessionid儲存在客戶端中,瀏覽器下次再發請求時帶上sessionid伺服器就可以知道之前的會話資訊。實現了http的狀態儲存。
基於token,很多中大型網際網路系統在用,使用者初次用使用者名稱密碼登陸成功後,服務端生成乙個token,比如按照json web token規則儲存在客戶端,後面客戶端再請求時攜帶token,服務端驗證合法後返回受限資源。這種方式服務端不儲存token任何資訊,相當於把session資訊全存在了客戶端,客戶端每次請求時都攜帶這些資訊。因此服務端是無狀態的,方面擴充套件。
web認證機制
以前對認證這方面的認識一直不太深刻,不清楚為什麼需要token這種認證,為什麼不簡單使用session儲存使用者登入資訊等。最近讀了幾篇大牛的部落格才對認證機制方面有了進一步了解。這種認證直接順應http協議的無狀態性,每次執行業務的時候,都暴力地附帶username與password引數,並將其傳...
web認證機制
以前對認證這方面的認識一直不太深刻,不清楚為什麼需要token這種認證,為什麼不簡單使用session儲存使用者登入資訊等。最近讀了幾篇大牛的部落格才對認證機制方面有了進一步了解。這種認證直接順應http協議的無狀態性,每次執行業務的時候,都暴力地附帶username與password引數,並將其傳...
Web認證方式
關鍵字 web,authentication 什麼是web認證 簡而言之,web認證就是乙個確認對方身份的過程。web認證最典型的方式是通過使用者名稱和密碼。web認證有多種方式 a.http協議內建的認證方法 1.http basic authentication http基本認證 http基本認...