|
Http协议本身是一种无状态的协议,如果Http服务器需要浏览器提供用户名和密码来进行身份核验,那么浏览器每一次请求时,都需要做一次用户认证才行,因为Http服务器并不知道请求是哪个用户发出的。 为了让Http服务器识别出来是哪个用户发出的请求,需要在服务器存储一份用户登录的信息,这份登录信息会随着第一次请求的响应回传给浏览器。浏览器将其保存为cookie,以便下次请求时带上登录信息。这样下次请求时,服务器就能识别出请求来自哪个用户了。这就是传统的基于会话的认证。 基于server-session的认证流程 server-session流程图 (1)用户第一次访问时,服务器就会创建会话(session)对象,服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有不同的session对象。 (2)服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户再次发送请求时,通过cookie把sessionid传回服务器,服务器就能够根据sessionid找到与该用户对应的session对象。
(3)服务器获取用户的session对象后,看里面有没有登录成功的凭证,就能判断这个用户是否已经登录。当用户注销后,服务器会把session对象里的登录凭证清掉。 这种方式将会话信息存储在web服务器里面,在用户在线量比较多时,会占据较多的内存。另外当服务端应用采用集群部署的时候,多台服务器之间需要进行session共享。 通常的解决方案是采用redis缓存服务器来管理session,既可以减轻应用服务器的负担,又可以实现session共享。 除了在服务端管理会话信息,还可以将登录凭证保存在浏览器端。下面来看看基于浏览器cookie的认证流程。 基于cookie的认证流程 cookie-based认证流程 (1)用户发起登录请求,服务器验证用户名和密码等身份信息,如果验证通过,就为该用户创建一个登录凭证,最简单的凭证形式可以只包含:用户id、凭证创建时间和过期时间。 (2)服务器先对登录凭证进行数字签名,然后再用对称加密算法做加密处理,将加签加密的登录凭证(命名为ticket),写入cookie,再回传给浏览器。 添加数字签名的目的是防止登录凭证里的信息被篡改,一旦信息被篡改,那么服务器验签肯定会失败。加密的作用是防止cookie被截取后,泄露其中的用户信息。 (3)用户再次发起请求时,服务器通过登录凭证名称(ticket)获取到相关的cookie值。先做解密处理,再做验签。如果这两步成功,就可以拿到原始的登录凭证;如果这两步不成功,则不允许请求。 (4)服务器用这个凭证的过期时间和当前时间做对比,判断凭证是否过期。如果过期,就需要用户再重新登录;如果未过期,则允许请求继续。 这种方式最大的优点就是实现了服务端的无状态化,彻底移除了服务端对会话的管理的逻辑,服务端只需要负责创建和验证登录cookie即可,无需保持用户的状态信息。 如果服务端做了集群部署,只需要每个服务器的登录逻辑中加签验签和加密解密的代码一致,那么就可以在集群内实现会话共享。 但是server-session方案和cookie-based方案都要用到cookie,不适合native app里面使用,只适合浏览器。现在大部分互联网应用都是支持多端的,既要支持web端,也要支持app,就要考虑下面介绍的基于token的会话管理方式。 token-based会话管理 token-based会话管理流程与基于cookie的流程基本一致,只不过把ticket换成了token。在客户端获得token以后,再次请求时需要在http header或url参数中带上token。 token-based认证方式有以下特点:
总结基于token的方案是实现会话管理的方案之一,但不是唯一的方案。目前应用最多的会话管理方案还是基于token的方案,不仅有很多实现,而且还有现成的标准可用,这个标准就是JWT(json-web-token)。在后面的文章中我们再来聊聊JWT标准。 参考资料:3种web会话管理的方式 |
|
|
来自: Fengsq501u81r4 > 《计算机》
