cookie,session,token,jwt

登陆状态保存

HTTP请求是无状态的web

• cookie+ 举例：例如满10+1 给你卡片，卡片上有商家标识算法

  • 保存在客户端
  • 数据量小(不少站点对cookie的大小和数量都进行了限制)
  • 不安全(别人能够分析存放在本地的COOKIE并进行COOKIE欺骗，也可能被拦截)

• session 举例例如卡片：获取你的信息保存到商家数据库

  • 保存在服务器端
  • 安全
  • session能够依赖cookie
  • 访问量增多，占用服务器资源，若是服务器挂了，全部保存的信息都没了

• token安全

  • 服务器不存用户状态，定义通用算法
  • 客户端第一次登陆以后，服务器会生成一个token，返回给客户端
  • 后续全部请求都会带着token
  • 服务器根据算法校验token的合法性

• jwt服务器

  查库和不查库，token会先校验在查询数据库获取数据cookie

  jwt不查库，session

  由于在给客户端返回token的时候就将用户信息加密到token里面了svg

  客户端再次将token携带给服务端时候，服务端直接解密，拿到用户信息，直接返回，不须要查库加密