一、为什么需要登录?
在现代的 web 应用中,客户端与服务端的交互建立在一系列网络协议上。这些网络协议各有分工,而 HTTP 协议则的作用主要是:规定客户端和服务端的数据传输格式。
1.1 HTTP 协议的特点-无状态
了解了这些,就要说到 HTTP 协议最大的特点:无状态
什么是无状态?
一个 web 应用要想正常运行,需要靠一次次地发 HTTP 请求。请求页面文件,请求静态资源,请求数据。
而在这么多次请求中,每次请求对于服务端来说都是全新的,并不保存任何之前请求的数据。这便是无状态
1.2 无状态产生的问题
我们来设想这样一种情景:你打开了一个购物网站,选择了一本书加入购物车,这时网站提示你需要先登录。当你登录完成(这是一个登陆请求处理),再次加入购物车时(这是另一个请求处理),服务端如何得知是谁要加入购物车呢?
二、登录要解决的核心问题是什么?
上面的情景中,就体现了登录机制要解决的核心问题:
如何保持用户的登录状态?
不管是 PC 端项目登录、小程序登录、单点登录,核心都需要先解决保持登录状态的问题,之后才是解决其他不同业务场景产生的问题。
三、目前有哪些解决登录问题的方案?
3.1 session
Session 是偏早期的登录解决方案,它的做法是:
- 用户填写用户名、密码,点击登录
- 客户端发起请求,将登录信息传给服务端
- 服务端存储登录信息,并生成一个 session-id,作为这条登录信息的唯一标识
- 服务端返回请求时,以 set-cookie 方式将 session-id 种在客户端
- 在之后的请求中,只要 domain 和 path 符合,客户端都会自动带上 cookie
- 服务端接收到请求,通过 cookie 中的 session-id 找到对应的登录信息
核心:服务端需要维护一个 session 表,来存储 session-id 与登录信息的映射关系,本质上是把用户状态信息维护在服务端。
3.2 token
- 用户填写用户名、密码,点击登录
- 客户端发起请求,将登录信息传给服务端
- 服务端存储登录信息,通过加密方式生成一段 token,传给客户端(注意:服务端并不会存储这个 token)
- 在之后的请求中,客户端自动带上 token
- 服务端接收到请求,解析 token 拿到登录信息并进行验证
核心:服务端不需要额外维护状态,本质上是把用户状态信息维护在客户端。节省了存储空间,但牺牲了计算时间。
