HTTP是无状态协议,Cookie、Session和Token都是用来做持久化处理的,目的就是让客户端和服务端互相认识。
- Cookie由服务器生成,通过响应头Set-Cookie字段发送给浏览器,浏览器把Cookie以键值对形式保存到某个txt文件里,下一次请求同一网站时会把该Cookie发送给服务器,服务器就知道这个请求来自于谁了。
- Session 会话。服务器用Session把用户的信息临时保存在服务器上,用户离开网站后Session会被销毁。
- Token 令牌 ,用户身份的验证方式,有点类似于Cookie,相对来说更安全。Token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由Token的前几位+以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接Token请求服务器)
一般流程:
1、客户端向服务端申请Token/cookie;
2、服务端收到请求,签发一个Token/cookie给客户端,服务端自己保存 Token/Session;
3、客户端收到服务端签发的Token/cookie会保存起来,每次请求带上Token/cookie;
4、服务器收到其他请求,会去验证客户端的Token/cookie,如果成功则返回数据,不成功做其他处理。
cookie和session的区别:
- 存储位置及大小:cookie存放在客户端,有长度限制;session存放在服务器,可存放长度远大于cookie
- 有效期:cookie可设置为长期保存;session有效期短,客户端关闭或超时都会失效
- 安全性:cookie易于被获取;session安全性更高