歡迎光臨
每天分享高質量文章

Java Web 開發必須掌握的三個技術:Token、Cookie、Session

(給ImportNew加星標,提高Java技能)

 

轉自:一隻躲在角落裡的小刺蝟

文章鏈接:http://jianshu.com/p/8ef0c5a551d3

 

在Web應用中,HTTP請求是無狀態的。即:用戶第一次發起請求,與服務器建立連接並登錄成功後,為了避免每次打開一個頁面都需要登錄一下,就出現了cookie,Session。

Cookie

Cookie是客戶端儲存用戶信息的一種機制,用來記錄用戶的一些信息,也是實現Session的一種方式。Cookie儲存的資料量有限,且都是儲存在客戶端瀏覽器中。不同的瀏覽器有不同的儲存大小,但一般不超過4KB。因此使用Cookie實際上只能儲存一小段的文本信息。

例如:登錄網站,今輸入用戶名密碼登錄了,第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是Cookie。

Session

Session是另一種記錄客戶狀態的機制,它是在服務端儲存的一個資料結構(主要儲存的的SessionID和Session內容,同時也包含了很多自定義的內容如:用戶基礎信息、權限信息、用戶機構信息、固定變數等),這個資料可以儲存在集群、資料庫、檔案中,用於跟蹤用戶的狀態。

客戶端瀏覽器訪問服務器的時候,服務器把客戶端信息以某種形式記錄在服務器上。這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態就可以了。

用戶第一次登錄後,瀏覽器會將用戶信息發送給服務器,服務器會為該用戶創建一個SessionId,併在響應內容(Cookie)中將該SessionId一併傳回給瀏覽器,瀏覽器將這些資料儲存在本地。當用戶再次發送請求時,瀏覽器會自動的把上次請求儲存的Cookie資料自動的攜帶給服務器。

服務器接收到請求信息後,會通過瀏覽器請求的資料中的SessionId判斷當前是哪個用戶,然後根據SessionId在Session庫中獲取用戶的Session資料傳回給瀏覽器。

例如:購物車,添加了商品之後客戶端處可以知道添加了哪些商品,而服務器端如何判別呢,所以也需要儲存一些信息就用到了Session。

如果說Cookie機制是通過檢查客戶身上的“通行證”來確定客戶身份的話,那麼Session機制就是通過檢查服務器上的“客戶明細表”來確認客戶身份。Session相當於程式在服務器上建立的一份客戶檔案,客戶來訪的時候只需要查詢客戶檔案表就可以了。

Session生成後,只要用戶繼續訪問,服務器就會更新Session的最後訪問時間,並維護該Session。為防止記憶體上限溢位,服務器會把長時間內沒有活躍的Session從記憶體刪除。這個時間就是Session的超時時間。如果超過了超時時間沒訪問過服務器,Session就自動失效了。

Token

HTTP請求都是以無狀態的形式對接。即HTTP服務器不知道本次請求和上一次請求是否有關聯。所以就有了Session的引入,即服務端和客戶端都儲存一段文本,客戶端每次發起請求都帶著,這樣服務器就知道客戶端是否發起過請求。

這樣,就導致客戶端頻繁向服務端發出請求資料,服務端頻繁的去資料庫查詢用戶名和密碼併進行對比,判斷用戶名和密碼正確與否。而Session的儲存是需要空間的,頻繁的查詢資料庫給服務器造成很大的壓力。

 

在這種情況下,Token應用而生。

Token是服務端生成的一串字串,以作客戶端進行請求的一個令牌。當客戶端第一次訪問服務端,服務端會根據傳過來的唯一標識userId,運用一些演算法,並加上密鑰,生成一個Token,然後通過BASE64編碼一下之後將這個Token傳回給客戶端,客戶端將Token儲存起來(可以通過資料庫或檔案形式儲存本地)。下次請求時,客戶端只需要帶上Token,服務器收到請求後,會用相同的演算法和密鑰去驗證Token。

最簡單的Token組成:uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,由Token的前幾位+鹽以哈希演算法壓縮成一定長的十六進制字串,可以防止惡意第三方拼接Token請求服務器)。

使用基於 Token 的身份驗證方法,在服務端不需要儲存用戶的登錄記錄。大概的流程是這樣的:

  • 客戶端使用用戶名跟密碼請求登錄

  • 服務端收到請求,去驗證用戶名與密碼

  • 驗證成功後,服務端會簽發一個 Token,再把這個 Token 發送給客戶端

  • 客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 里或者資料庫里

  • 客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token

  • 服務端收到請求,然後去驗證客戶端請求裡面帶著的 Token,如果驗證成功,就向客戶端傳回請求的資料

APP登錄的時候發送加密的用戶名和密碼到服務器,服務器驗證用戶名和密碼,如果成功,以某種方式比如隨機生成32位的字串作為Token,儲存到服務器中,並傳回Token到APP,以後APP請求時,凡是需要驗證的地方都要帶上該Token,然後服務器端驗證Token,成功傳回所需要的結果,失敗傳回錯誤信息,讓他重新登錄。

對於同一個APP同一個手機當前只有一個Token;手機APP會儲存一個當前有效的Token。其中服務器上Token設置一個有效期,每次APP請求的時候都驗證Token和有效期。


下麵這個例子,可以很好的理解:

『給我來份煎餅(token我是你對面攤賣烤冷面的,scope賒賬)』『好』
『雞蛋(token我是你對面攤賣烤冷面的,scope賒賬)』『好』
『再加個雞蛋(token我是你對面攤賣烤冷面的,scope賒賬)』『好』

最終得到一份普通煎餅,外加兩個雞蛋……

如果服務器重啟或者因為其他理由,服務器端已儲存token丟失。那麼用戶需 要重新登錄和認證。

『給我來份煎餅(token我是你對面攤賣烤冷面的)』『那個……我沒見過你』

    赞(0)

    分享創造快樂