Token和Cookie 的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样:
1、Cookie
HTTP 是无状态的协议,每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。Cookie是服务器发送到用户浏览器并保持在本地的一小块信息,他会在浏览器下次向服务器发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器。文章来源:https://www.toymoban.com/news/detail-515788.html
- 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session ,response时将此 Session 的唯一标识信息 SessionID 返回给浏览器,浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名。
- 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,
- 只有找到 Session 才可以证明用户已经登录, 就可执行后面操作。
2 Token
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:文章来源地址https://www.toymoban.com/news/detail-515788.html
- 客户端使用用户名、密码请求登录
- 服务端收到请求,去验证用户名、密码
- 验证成功后,服务端会签发一个 Token令牌-就是字符串-作为个人身份标识,再把这个 Token 发送给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 、Session Storage里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token(cookie或者请求头里都可以)
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据 - 客户端向服务器端发送消息的时候,服务器端可能有多个服务器,-----我们的token信息存储在readis或者其他容器内
- 那么无论客户端请求那个服务器,服务器只需要携带token去容器中寻找就可以了
3、区别
- Cookie 是前后端共享的,前端也能操作Cookie,后端也能操作Cookie
- token相当于是一个前端的缓存,后端不能直接读取到他,需要前端先从缓存里读出来,通过http接口参数,传递给后端,后端才能拿到。后端也不能直接修改它,token只能由前端页面做修改。
- 在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载均衡器能够将用户信息从一个服务传到其他服务器上。
- 请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)可以使用请求头。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
到了这里,关于Cookie和Token的区别的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!