目前,无状态的HTTP协议用以跟踪用户状态的常用解决方案有两种
-
基于Session的认证
- 用户成功登录后,服务器为其创建并存储一个Session(map结构,有SessionID),并通过Set-Cookie将SessionID返回给客户端作为Cookie
- 客户端随后的请求都将在标头中通过Cookie附带该SessionID,并由服务器端完成验证
-
基于Token的认证
- 用户成功登录后,服务器使用Secret创建JWT,并将JWT返回给客户端进行存储
- 客户端在随后的请求标头中附带JWT,并由服务器完成验证
browser去向user login post一个请求这是登录的,随后server就create JWT with secret,你可以理解为这个JWT后面附带了一个签名信息,而后就返回给客户端返回给浏览器,随后浏览器再次访问的时候会在标头当中通过JWT附带JWT信息把对应的JWT内容直接提交给server端,这种发送方式会导致它的标头有点大,开销会稍微重了一点,而后服务器收到请求Check JWT signature校验它的签名是不是此前签的内容,方法无非就是把JWT