Web 開發必須掌握的三個技術：Token、Cookie、Session

時間 2020-09-29

標籤 web 開發必須掌握三個技術 token cookie session 欄目 HTML 简体版

原文原文鏈接

在Web應用中，HTTP請求是無狀態的。即：用戶第一次發起請求，與服務器創建鏈接並登陸成功後，爲了不每次打開一個頁面都須要登陸一下，就出現了cookie，Session。算法

Cookie

Cookie是客戶端保存用戶信息的一種機制，用來記錄用戶的一些信息，也是實現Session的一種方式。Cookie存儲的數據量有限，且都是保存在客戶端瀏覽器中。不一樣的瀏覽器有不一樣的存儲大小，但通常不超過4KB。所以使用Cookie實際上只能存儲一小段的文本信息。數據庫

例如：登陸網站，今輸入用戶名密碼登陸了，次日再打開不少狀況下就直接打開了。這個時候用到的一個機制就是Cookie。segmentfault

Session

Session是另外一種記錄客戶狀態的機制，它是在服務端保存的一個數據結構（主要存儲的的SessionID和Session內容，同時也包含了不少自定義的內容如：用戶基礎信息、權限信息、用戶機構信息、固定變量等），這個數據能夠保存在集羣、數據庫、文件中，用於跟蹤用戶的狀態。瀏覽器

客戶端瀏覽器訪問服務器的時候，服務器把客戶端信息以某種形式記錄在服務器上。這就是Session。客戶端瀏覽器再次訪問時只須要從該Session中查找該客戶的狀態就能夠了。服務器

用戶第一次登陸後，瀏覽器會將用戶信息發送給服務器，服務器會爲該用戶建立一個SessionId，並在響應內容（Cookie）中將該SessionId一併返回給瀏覽器，瀏覽器將這些數據保存在本地。當用戶再次發送請求時，瀏覽器會自動的把上次請求存儲的Cookie數據自動的攜帶給服務器。cookie

服務器接收到請求信息後，會經過瀏覽器請求的數據中的SessionId判斷當前是哪一個用戶，而後根據SessionId在Session庫中獲取用戶的Session數據返回給瀏覽器。數據結構

例如：購物車，添加了商品以後客戶端處能夠知道添加了哪些商品，而服務器端如何判別呢，因此也須要存儲一些信息就用到了Session。網站

若是說Cookie機制是經過檢查客戶身上的「通行證」來肯定客戶身份的話，那麼Session機制就是經過檢查服務器上的「客戶明細表」來確認客戶身份。Session至關於程序在服務器上創建的一份客戶檔案，客戶來訪的時候只須要查詢客戶檔案表就能夠了。ui

Session生成後，只要用戶繼續訪問，服務器就會更新Session的最後訪問時間，並維護該Session。爲防止內存溢出，服務器會把長時間內沒有活躍的Session從內存刪除。這個時間就是Session的超時時間。若是超過了超時時間沒訪問過服務器，Session就自動失效了。編碼

Token

HTTP請求都是以無狀態的形式對接。即HTTP服務器不知道本次請求和上一次請求是否有關聯。因此就有了Session的引入，即服務端和客戶端都保存一段文本，客戶端每次發起請求都帶着，這樣服務器就知道客戶端是否發起過請求。

這樣，就致使客戶端頻繁向服務端發出請求數據，服務端頻繁的去數據庫查詢用戶名和密碼並進行對比，判斷用戶名和密碼正確與否。而Session的存儲是須要空間的，頻繁的查詢數據庫給服務器形成很大的壓力。

在這種狀況下，Token應用而生。

Token是服務端生成的一串字符串，以做客戶端進行請求的一個令牌。當客戶端第一次訪問服務端，服務端會根據傳過來的惟一標識userId，運用一些算法，並加上密鑰，生成一個Token，而後經過BASE64編碼一下以後將這個Token返回給客戶端，客戶端將Token保存起來（能夠經過數據庫或文件形式保存本地）。下次請求時，客戶端只須要帶上Token，服務器收到請求後，會用相同的算法和密鑰去驗證Token。

最簡單的Token組成:uid(用戶惟一的身份標識)、time(當前時間的時間戳)、sign(簽名，由Token的前幾位+鹽以哈希算法壓縮成必定長的十六進制字符串，能夠防止惡意第三方拼接Token請求服務器)。

使用基於 Token 的身份驗證方法，在服務端不須要存儲用戶的登陸記錄。大概的流程是這樣的：

客戶端使用用戶名跟密碼請求登陸
服務端收到請求，去驗證用戶名與密碼
驗證成功後，服務端會簽發一個 Token，再把這個 Token 發送給客戶端
客戶端收到 Token 之後能夠把它存儲起來，好比放在 Cookie 裏或者數據庫裏
客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
服務端收到請求，而後去驗證客戶端請求裏面帶着的 Token，若是驗證成功，就向客戶端返回請求的數據

APP登陸的時候發送加密的用戶名和密碼到服務器，服務器驗證用戶名和密碼，若是成功，以某種方式好比隨機生成32位的字符串做爲Token，存儲到服務器中，並返回Token到APP，之後APP請求時，凡是須要驗證的地方都要帶上該Token，而後服務器端驗證Token，成功返回所須要的結果，失敗返回錯誤信息，讓他從新登陸。

對於同一個APP同一個手機當前只有一個Token；手機APP會存儲一個當前有效的Token。其中服務器上Token設置一個有效期，每次APP請求的時候都驗證Token和有效期。

下面這個例子，能夠很好的理解：

『給我來份煎餅（token我是你對面攤賣烤冷麪的，scope賒帳）』『好』
『雞蛋（token我是你對面攤賣烤冷麪的，scope賒帳）』『好』
『再加個雞蛋（token我是你對面攤賣烤冷麪的，scope賒帳）』『好』

最終獲得一份普通煎餅，外加兩個雞蛋……

若是服務器重啓或者由於其餘理由，服務器端已保存token丟失。那麼用戶需要從新登陸和認證。

『給我來份煎餅（token我是你對面攤賣烤冷麪的）』『那個……我沒見過你』

點擊關注，第一時間瞭解華爲雲新鮮技術~