Cookie、Session、Token
cookie
cookie将保持在客户端,每次请求都自动加入cookie以维持状态,提高安全性,并且方便
但是有安全风险,容易被串改、容量不能大于4KB、用户可能禁用等
session
session接收到用户信息,下一次响应中加入set-cookie属性(其中有唯一的session ID),客户端存入session ID,每次请求包含cookie,服务端拿到cookie,对比得到用户信息
但是占用服务器资源、扩展性差、依然依赖cookie跨域限制(不适用于集群环境和前后端分离的架构)
token
IWT加密后的字符串分三部分
红色:包含了算法和token类型
紫色:安全所在包含了传递信息
蓝色:JWT安全所在,包含了加密后的header、加密后的payload、自己知道的私钥