计网四:对于HTTP无状态请求的补充cookie session jwt(token)
HTTP是一个“无状态”协议,无法记录用户登录信息,也无法跟踪用户的活动。因此,需要一些机制来为HTTP请求提供状态。
cookie session token
Cookie是服务器通知浏览器保存键值对的一种技术,保存在浏览器中。
Token在服务器中产生,保存在浏览器的Cookie或者Storage中。
Session在完全由服务器管理的一种技术,产生并保存在服务器内存中。
Cookie和Token常用于在浏览器端保存用户信息。
Session常用于在服务端记录用户状态。
服务器与浏览器维持会话的技术:
浏览器第一次发送请求时,服务器调用req.getsession()方法创建一个session对象,保存到服务器内存中,并将随之生成的SessionId在返回响应时通过setCookie的方式发送给浏览器保存。
浏览器将sessionId保存在cookie中。
以后,每次浏览器发送请求(cookie在每次请求时都会发送给服务器),服务器会验证cookie中存放的sessionId,并返回session对象,即维持了与浏览器的会话。
基于cookie的身份验证
服务端需要事先在数据库中存储用户的信息,登录名和密码。
验证的一般流程如下:
用户输入登陆信息;
服务器验证信息是否正确,并创建会话(Session对象,包括SessionId和User属性),
然后把Session对象存储在数据库中(或者服务器内存);
具有SessionId和生命周期(max_age) 的cookie被存放在用户浏览器中;
在后续请求中,服务器会验证请求中的SessionId,如果验证通过,则继续处理;否则,服务器创建新的会话对象。
一旦用户登出,服务端和客户端同时销毁该会话。
在此过程中,服务端会存储Session对象,占用大量的服务端资源。
注:对于分布式架构,session应该存放在哪里,以实现session共享及快速访问?
如果存到每一台web服务器中,首先没法实现共享,其次大量占用内存,因此不建议。
如果存到文件服务器或者数据服务器,存在大量的IO操作,效率低。
可以存到nosql缓存数据库,比如redis,完全存在内存中,访问速度快,并且可以实现共享。
基于token的身份验证
注:讨论基于token的身份验证时,一般都是说的JSON Web Tokens(JWT)。
基于token的验证是无状态的。服务器不记录哪些用户已登陆,只会保存一个JWT签名的密文(字符串)。浏览器对服务器的每个请求都需要带上验证请求的token。
工作流程如下:
用户输入登陆凭据;
服务器验证凭据是否正确,然后返回客户端一个经过签名的token,服务端保存一个JWT签名的密文;
客户端负责存储token,可以存在storage,或者cookie中;
每次对服务器的请求都要带上这个token;
服务器对token进行解码,如果token有效,则处理该请求;
一旦用户登出,客户端销毁token。
Session的应用:加入购物车
浏览器第一次向服务端发送请求时,服务端创建Session对象,
加购时在Session对象中创建购物车对象,req.setSession.setAttribute(“cart”,cart),
然后在购物车对象中添加商品项,实现加购操作,
在生成订单时,要求用户登录,并在Session对象中记录user信息,
根据cart和user信息,生成订单,和userId绑定,保存到数据库。