Web 開發必須掌握的三個技術：Token、Cookie、Session

在 Web 應用中，HTTP 請求是無狀態的。即：用戶第一次發起請求，與服務器建立連接並登錄成功後，爲了避免每次打開一個頁面都需要登錄一下，就出現了 cookie，Session。

Cookie

Cookie 是客戶端保存用戶信息的一種機制，用來記錄用戶的一些信息，也是實現 Session 的一種方式。Cookie 存儲的數據量有限，且都是保存在客戶端瀏覽器中。不同的瀏覽器有不同的存儲大小，但一般不超過 4KB。因此使用 Cookie 實際上只能存儲一小段的文本信息。

例如：登錄網站，今輸入用戶名密碼登錄了，第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是 Cookie。

Session

Session 是另一種記錄客戶狀態的機制，它是在服務端保存的一個數據結構（主要存儲的的 SessionID 和 Session 內容，同時也包含了很多自定義的內容如：用戶基礎信息、權限信息、用戶機構信息、固定變量等），這個數據可以保存在集羣、數據庫、文件中，用於跟蹤用戶的狀態。

客戶端瀏覽器訪問服務器的時候，服務器把客戶端信息以某種形式記錄在服務器上。這就是 Session。客戶端瀏覽器再次訪問時只需要從該 Session 中查找該客戶的狀態就可以了。

用戶第一次登錄後，瀏覽器會將用戶信息發送給服務器，服務器會爲該用戶創建一個 SessionId，並在響應內容（Cookie）中將該 SessionId 一併返回給瀏覽器，瀏覽器將這些數據保存在本地。當用戶再次發送請求時，瀏覽器會自動的把上次請求存儲的 Cookie 數據自動的攜帶給服務器。

服務器接收到請求信息後，會通過瀏覽器請求的數據中的 SessionId 判斷當前是哪個用戶，然後根據 SessionId 在 Session 庫中獲取用戶的 Session 數據返回給瀏覽器。

例如：購物車，添加了商品之後客戶端處可以知道添加了哪些商品，而服務器端如何判別呢，所以也需要存儲一些信息就用到了 Session。

如果說 Cookie 機制是通過檢查客戶身上的 “通行證” 來確定客戶身份的話，那麼 Session 機制就是通過檢查服務器上的 “客戶明細表” 來確認客戶身份。Session 相當於程序在服務器上建立的一份客戶檔案，客戶來訪的時候只需要查詢客戶檔案表就可以了。

Session 生成後，只要用戶繼續訪問，服務器就會更新 Session 的最後訪問時間，並維護該 Session。爲防止內存溢出，服務器會把長時間內沒有活躍的 Session 從內存刪除。這個時間就是 Session 的超時時間。如果超過了超時時間沒訪問過服務器，Session 就自動失效了。

Token

HTTP 請求都是以無狀態的形式對接。即 HTTP 服務器不知道本次請求和上一次請求是否有關聯。所以就有了 Session 的引入，即服務端和客戶端都保存一段文本，客戶端每次發起請求都帶着，這樣服務器就知道客戶端是否發起過請求。

這樣，就導致客戶端頻繁向服務端發出請求數據，服務端頻繁的去數據庫查詢用戶名和密碼並進行對比，判斷用戶名和密碼正確與否。而 Session 的存儲是需要空間的，頻繁的查詢數據庫給服務器造成很大的壓力。

在這種情況下，Token 應用而生。

Token 是服務端生成的一串字符串，以作客戶端進行請求的一個令牌。當客戶端第一次訪問服務端，服務端會根據傳過來的唯一標識 userId，運用一些算法，並加上密鑰，生成一個 Token，然後通過 BASE64 編碼一下之後將這個 Token 返回給客戶端，客戶端將 Token 保存起來（可以通過數據庫或文件形式保存本地）。下次請求時，客戶端只需要帶上 Token，服務器收到請求後，會用相同的算法和密鑰去驗證 Token。

最簡單的 Token 組成: uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，由 Token 的前幾位 + 鹽以哈希算法壓縮成一定長的十六進制字符串，可以防止惡意第三方拼接 Token 請求服務器)。

使用基於 Token 的身份驗證方法，在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的：

• 客戶端使用用戶名跟密碼請求登錄

• 服務端收到請求，去驗證用戶名與密碼

• 驗證成功後，服務端會簽發一個 Token，再把這個 Token 發送給客戶端

• 客戶端收到 Token 以後可以把它存儲起來，比如放在 Cookie 裏或者數據庫裏

• 客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token

• 服務端收到請求，然後去驗證客戶端請求裏面帶着的 Token，如果驗證成功，就向客戶端返回請求的數據

APP 登錄的時候發送加密的用戶名和密碼到服務器，服務器驗證用戶名和密碼，如果成功，以某種方式比如隨機生成 32 位的字符串作爲 Token，存儲到服務器中，並返回 Token 到 APP，以後 APP 請求時，凡是需要驗證的地方都要帶上該 Token，然後服務器端驗證 Token，成功返回所需要的結果，失敗返回錯誤信息，讓他重新登錄。

對於同一個 APP 同一個手機當前只有一個 Token；手機 APP 會存儲一個當前有效的 Token。其中服務器上 Token 設置一個有效期，每次 APP 請求的時候都驗證 Token 和有效期。

下面這個例子，可以很好的理解：

『給我來份煎餅（token 我是你對面攤賣烤冷麪的，scope 賒賬）』『好』
『雞蛋（token 我是你對面攤賣烤冷麪的，scope 賒賬）』『好』
『再加個雞蛋（token 我是你對面攤賣烤冷麪的，scope 賒賬）』『好』

最終得到一份普通煎餅，外加兩個雞蛋……

如果服務器重啓或者因爲其他理由，服務器端已保存 token 丟失。那麼用戶需 要重新登錄和認證。

『給我來份煎餅（token 我是你對面攤賣烤冷麪的）』『那個…… 我沒見過你』

聲明：

本文於網絡整理，版權歸原作者所有，如來源信息有誤或侵犯權益，請聯繫我們刪除或授權事宜。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/ygFjyxoqZaBrgM_f2YHqSg