cookie、session、JWT(Json Web Token) 的区别?
答:
要从http的无状态说起,http是无状态的,也就是如果你第一次访问服务器,之后再次访问的时候,服务器是不会意识到你再次来进行访问的。不想让已经登录的用户再次输入密码的话,就得使用存储了。
- cookie(客户端、数据载体):
可以实现每一次http请求都自动带数据给服务器的技术。先是浏览器发起http请求,服务器会进行cookie设置,键和值两个重要的属性,发给浏览器的时候,浏览器会自动进行保存起来,之后浏览器以后发送的每一个请求都会自动附带上cookie,说白了,就是存储在浏览器的一种数据而已。
- session(会话,诞生并保存在服务器端):
浏览器访问服务器会话结束的时间比较模糊,你关掉网页也可能只是按错了而已,因此不同的网站对与每一个会话都设定了时间(也就是结束会话的时间)和唯一的id(session_id),并且保存在数据库里面,这里有了用户名为什么还要sessionid,设置sessionid和结束时间后,还需要把它们放在cookie中,然后浏览器拿到后,进行保存。
黑客拿到session也没有用了,无序的,所以不能用sessionid推断出用户的密码,服务器发送前会对含有sessionid的cookie进行签名,修改了也没用,之后每次访问都会携带cookie中的session,直到有效期失效,会话结束。
缺点:
- session只能在web的场景下使用,如果是App中的,不能使用cookie的情况下就不能用了。 session 需要基于 cookie 实现,所以移动端常用的是 token
- 在web场景下使用,可能出现一个跨域的问题,cookie不能跨域,多级域名可以设置domain字段解决【解决办法是使用单点登录或者web下使用local storage】
- 如果是分布式服务需要考虑session同步的问题
改进:
cookie+session中,我们把session存储到redis中去,既可以提高速度,又避免了Session同步的问题。可以用于分布式
- JWT(Json Web Token,诞生在服务器,保存在浏览器)
随着互联网的发展,用户群体越来越大,如果继续使用session的话,特定时间有大量的用户访问服务器的时候,会面临存储大量的sessionid在服务器里面,如果有多台服务器的话,一台存储可能会超载,那么会存储到其他的服务器,所以说其他的服务器就需要通用的sessionid,服务器这样分享也不是办法。考虑用数据库存储,但是数据库也会有崩溃的情况,随之出现JWT技术。(token存储在用户)
JWT由三部分组成,有一定的安全性,生成签名token后,再次被cookie携带过来之后,服务器会用保存的密码进行验证
优点:
- 使用 json 作为数据传输,有广泛的通用型,并且体积小,便于传输;
- 不需要在服务器端保存相关信息;
- jwt 载荷部分可以存储业务相关的信息(非敏感的),例如用户信息、角色等;