身份认证

cookie 是存储在用户浏览器中一段不超过 4kb 的字符串

cookie由一个名称(name)和一个值(value)和其他的用于控制cookie的==有效期,安全性,适用范围==的可选属性组成

特点

  1. 自动发送
  2. 域名独立
  3. 过期时限
  4. 4kb 限制

流程

第一次请求服务器时,服务器通过响应头的形式,向客户端发送一个身份认证的 cookie ,客户端会自动保存 cookie 在浏览器中

当客户端再次请求服务器时,浏览器会自动将 cookie 以响应头的形式发送给服务器

cookie 可以通过 API 获取和修改

服务器不会验证 cookie 是否有效

==不要用 cookie 存储重要且隐私的信息==

session

工作原理

session

服务器会验证 cookie 数据,确定 cookie 有效

当服务器访问量过大时,会导致服务器压力过大

token

工作原理

token

组成部分

  • Header(头部)
  • Payload(有效荷载)
  • Signature(签名)

由 ‘.’ 隔开

PayLoad 才是用户信息加密生成的字符串

Header、Signature 是为了安全性

==客户端向服务器发送请求时,推荐把 jwt 放在 http 请求头中的 authorization字段中==

==token 开头必须加上 Bearer,不然无法解析==