介面鑑權之cookie session和token

一、鑑權

二、引入cookie、session和token的原因

目前，大部分介面使用的都是http協議，而http協議是無狀態的，即本次請求和上一次請求是沒有任何關係的，無法共享資訊。

比如，像我們現在**下單需要先登入，你登入成功了之後再去下單，伺服器怎麼知道你是已登入狀態呢？

三、cookie和session

1、cookie產生原因：由於http是一種無狀態協議,伺服器沒有辦法單從網路連線上面知道訪問者的身份,為了解決這個問題,就誕生了cookie（cookie實際上是一小段的文字資訊）

2、cookie工作原理：客戶端請求伺服器，如果伺服器需要記錄該使用者狀態，就使用response向客戶端瀏覽器頒發乙個cookie；客戶端瀏覽器會把cookie儲存起來。當瀏覽器再請求該**時，瀏覽器把請求的**連同該cookie一同提交給伺服器。伺服器檢查該cookie，以此來辨認使用者狀態。

3、session工作原理：客戶端傳送登入資訊給伺服器，伺服器拿到登入資訊後生成sessionid，然後伺服器將sessionid傳送給客戶端，客戶端再次訪問時攜帶sessionid給伺服器，伺服器通過sessionid判斷對方是否是真實使用者。

4、cookie 和session的區別

1）存放位置：cookie資料存放客戶端（瀏覽器），session存放在伺服器

2）安全性：cookie不是很安全，別人可以分析存放在本地的cookie並進行cookie欺騙,如果主要考慮到安全應當使用session

3）記憶體上：session會在一定時間內儲存在伺服器上。當訪問增多，會比較占用你伺服器的效能，如果主要考慮到減輕伺服器效能方面，應當使用cookie

4）大小限制：單個cookie在客戶端的限制是3k，所以將登陸資訊等重要資訊存放為session; 其他資訊如果需要保留，可以放在cookie中

5）共同點：cookie和session都是用來跟蹤瀏覽器使用者身份的會話方式

四、session和token（json web token (jwt)）

簡單來說：使用token的原因是session id佔伺服器記憶體

解決方法：引入token，token可以直接把鎖和鑰匙都返回給瀏覽器，伺服器通過演算法去驗證鎖和鑰匙是不是同時有效的（防止有人惡意篡改）