答:是因爲網絡中http協議形成的,由於http自己是無狀態協議,這樣,沒法肯定你的本次請求和上次請求是否是你發送的。若是要進行相似論壇登錄相關的操做,就實現不了了。redis
2. session生成方式?
答:瀏覽器第一次訪問服務器,服務器會建立一個session,而後同時爲該session生成一個惟一的會話的key,也就是sessionid,而後,將sessionid及對應的session分別做爲key和value保存到緩存中,也能夠持久化到數據庫中,而後服務器再把sessionid,以cookie的形式發送給客戶端。這樣瀏覽器下次再訪問時,會直接帶着cookie中的sessionid。而後服務器根據sessionid找到對應的session進行匹配;
還有一種是瀏覽器禁用了cookie或不支持cookie,這種能夠經過URL重寫的方式發到服務器;算法
簡單來說,用戶訪問的時候說他本身是張三,他騙你怎麼辦? 那就在服務器端保存張三的信息,給他一個id,讓他下次用id訪問。
數據庫
3. 爲何會有token的出現?
答:首先,session的存儲是須要空間的,其次,session的傳遞通常都是經過cookie來傳遞的,或者url重寫的方式;而token在服務器是能夠不須要存儲用戶的信息的,而token的傳遞方式也不限於cookie傳遞,固然,token也是能夠保存起來的;json
4. token的生成方式?
答:瀏覽器第一次訪問服務器,根據傳過來的惟一標識userId,服務端會經過一些算法,如經常使用的HMAC-SHA256算法,而後加一個密鑰,生成一個token,而後經過BASE64編碼一下以後將這個token發送給客戶端;客戶端將token保存起來,下次請求時,帶着token,服務器收到請求後,而後會用相同的算法和密鑰去驗證token,若是經過,執行業務操做,不經過,返回不經過信息;後端
5. token和session的區別?
token和session其實都是爲了身份驗證,session通常翻譯爲會話,而token更多的時候是翻譯爲令牌;
session服務器會保存一份,可能保存到緩存,文件,數據庫;一樣,session和token都是有過時時間一說,都須要去管理過時時間;
其實token與session的問題是一種時間與空間的博弈問題,session是空間換時間,而token是時間換空間。二者的選擇要看具體狀況而定。瀏覽器
雖然確實都是「客戶端記錄,每次訪問攜帶」,但 token 很容易設計爲自包含的,也就是說,後端不須要記錄什麼東西,每次一個無狀態請求,每次解密驗證,每次當場得出合法 /非法的結論。這一切判斷依據,除了固化在 CS 兩端的一些邏輯以外,整個信息是自包含的。這纔是真正的無狀態。
而 sessionid ,通常都是一段隨機字符串,須要到後端去檢索 id 的有效性。萬一服務器重啓致使內存裏的 session 沒了呢?萬一 redis 服務器掛了呢?
方案 A :我發給你一張身份證,但只是一張寫着身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是否是有效。
方案 B :我發給你一張加密的身份證,之後你只要出示這張卡片,我就知道你必定是本身人。
就這麼個差異。緩存
token的使用能夠參考:json web token(JWT)服務器