首頁猿問為何說 Token 是...

為何說 Token 是 restful，而Cookie/SessionID 則不是？

PHP Java Redis

夢里花落0921 2018-06-27 10:02:42

如果SessionID和Token都存在 redis 里讓多個服務(wù)器共享那沒什么區(qū)別吧？關(guān)于有無狀態(tài)和是否restful他們都需要在服務(wù)端保存信息，我覺得都是stateful為何有的說Token就是stateless和restful，而Cookie/SessionID 則不是？

查看完整描述

3 回答

楊__羊羊

TA貢獻(xiàn)1943條經(jīng)驗獲得超7個贊

很多人是按session的方式來使用token，所以覺得兩者一樣。

session思維是這樣：傳遞sessionID或者所謂的token到服務(wù)端，然后服務(wù)端根據(jù)這個鍵值找到用戶數(shù)據(jù)，也許是session文件，也許在redis里，然后讀取里面的數(shù)據(jù)uid=1，至此用戶身份確立。

而真正的token思維是這樣：uid=1直接保存在客戶端，當(dāng)然不會只保留這么簡單的數(shù)據(jù)，很容易偽造。實際保存數(shù)據(jù)可能是這樣uid=1|6166b2002fdcb5df，后面一部分簽名是根據(jù)第一部分?jǐn)?shù)據(jù)加密所得，而加密算法只有服務(wù)端知道，你就沒辦法偽造數(shù)據(jù)了。服務(wù)端獲取這個token后，對第一部分?jǐn)?shù)據(jù)驗簽，和第二部分比對，如果一致，直接確立用戶身份uid=1。整個操作直接在內(nèi)存中運算，不需要讀取session文件或redis。你甚至可以把整個用戶信息uid=1&nickname=xxx&money=1000保存到token里。

比如常用的JWT，是用 . 分割成3部分，每部分再base64_encode，但思路是一樣的。

反對回復(fù) 2018-07-21

慕哥6287543

TA貢獻(xiàn)1831條經(jīng)驗獲得超10個贊

可以看下jwt這種token，是不需要存在服務(wù)器的，所有認(rèn)證信息（用戶id，過期時間等）是被加密在token當(dāng)中的，在服務(wù)端解密token就可以獲取認(rèn)證信息，不像session需要在服務(wù)器那里，根據(jù)cookie來取回狀態(tài)。

至于安全問題，jwt+https基本是很安全的了。這種stateless的token還有個好處是他可以無痛拓展，因為session的文件是存放到磁盤上的，當(dāng)你有第二臺服務(wù)器時，為了共享登陸，你不得不把session文件轉(zhuǎn)移到redis或其他介質(zhì)上，而jwt本身自帶所有認(rèn)證信息，直接使用

反對回復(fù) 2018-07-21