给自己挖个坑,写个认证授权的系列文档,这是第一篇
如果对 cookie 已经很熟悉了,可以跳过,这篇主要是为后面的做铺垫 what is cookie,网上已经说烂了,还不知道可以看MDN 概要
cookie 组成虽然cookie 属性说烂了,列还是得列一下,主要关注 Domain , HttpOnly , SameSite Name, Value Domain 默认是当前域名 假设 访问的是 当cookie设置父域名hucheng.com的时候 ,2个子域名( 划重点 Domain 的这种属性 可以用来 子域名之间的通信**,大部分二级域名之间跳转都是使用这个属性
cookie 产生整个交互过程
当浏览器禁用 cookie 后,基于 cookie 的 session 将不能正常工作,每次都将创建一个新的 session ,可通过url重写传递 sessionid。 cookie seesion 存在的问题在网民不多,喷子还很少的年代,cookie seesion 是够用的,但是负载大了以后,比方微博这种,一个系统保存上亿的 seessionId,也是够够的,那是不是可以搞个负载均衡 ,把 sessionId 都存到 Redis 缓存,所有的机器都来访问这个地方的数据, 这样一来,就不用复制了, 但是增加了单点失败的可能性, 要是那个负责 session 的机器挂了, 所有人都得重新登录一遍, 估计得被人骂死。 怎么办? 有没有啥办法,我不存这些用户 sessionId,让浏览器自己管理起来么,JWT 小老弟,要出场了,下回讲 JWT |
|
来自: liang1234_ > 《登陆相关》