前端设计中应该了解的web登录。

当时做登录这块的时候,被session、cookie、token各种概念差点整蒙圈了,上网查询相关概念,发现很多人都是类似的疑惑,比如:

前端应该知道的web登录

前端应该知道的web登录

前端应该知道的web登录

前端应该知道的web登录

来了字节跳动之后,前端很少接触HTTP请求之后的事情,而且登录相关的SDK封装的很好,所以这篇文章就简单的学习记录一下。

为什么会有登录这回事

首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了。所以,登录就是用某种方法让服务器在多次请求之间能够识别出你,而不是每次发请求都得带上用户名密码这样的识别身份的信息。 从登录成功到登出的这个过程,服务器一直维护了一个可以识别出用户信息的数据结构,广义上来说,这个过程就叫做session,也就是保持了一个会话。

常见的两种登录

忽然想到一点,看了网上很多问题,我觉得大家应该区分两个概念:广义的session和狭义的session

广义的session:广义的session就是从登录成功到登出的过程,在这个过程中客户端和服务器端维持了保持登录的状态,至于具体怎么维持住这种登录的状态,没有要求。

狭义的session:狭义的session就是登录成功后,服务器端存储了一些必须的用户信息,这部分存在服务器端的用户信息就叫做session,也就是接下来要说的第一种登录的实现方式。

服务器session+客户端sessionId

先用图来看:

前端应该知道的web登录

详细说的说一下,这里面主要是这么几个过程:

  1. 客户端带着用户名和密码去访问 /login 接口,服务器端收到后校验用户名和密码,校验正确就会在服务器端存储一个sessionId和session的映射关系

前端应该知道的web登录

2.服务器端返回response,并且将sessionId以set-cookie的方式种在客户端,这样一来,sessionId就存在了客户端。这里要注意的是,将sessionId存在cookie并不是一种强制的方案,而是大家一般都这么做,而且发请求的时候符合domain和path的时候,会自动带上cookie,省去了手动塞的过程。

3.客户端发起非登录请求时,服务端通过cookie中的sessionId找到对应的session来知道此次请求是谁发出的。

token

前面说到sessionId的方式本质是把用户状态信息维护在server端,token的方式就是把用户的状态信息加密成一串token传给前端,然后每次发请求时把token带上,传回给服务器端;服务器端收到请求之后,解析token并且验证相关信息;

所以跟第一种登录方式最本质的区别是:通过解析token的计算时间换取了session的存储空间

业界通用的加密方式是jwt(json web token),jwt的具体格式如图:

前端应该知道的web登录

简单的介绍一下jwt,它主要由3部分组成:

header里面描述加密算法和token的类型,类型一般都是JWT;

payload里面放的是用户的信息,也就是第一种登录方式中需要维护在服务器端session中的信息;

signature是对前两部分的签名,也可以理解为加密;实现需要一个密钥(secret),这个secret只有服务器才知道,然后使用header里面的算法按照如下方法来加密:

总之,最后的 jwt = base64url(header) + \".\" + base64url(payload) + \".\" + signature

jwt可以放在response中返回,也可以放在cookie中返回,这都是具体的返回方式,并不重要。

客户端发起请求时,官方推荐放在HTTP header中:

这样子确实也可以解决cookie跨域的问题,不过具体放在哪儿还是根据业务场景来定,并没有一定之规。

两种登录方案存在的问题

session方式

  1. session方式由于会在服务器端维护session信息,单机还好说,如果是多机的话,服务器之间需要同步session信息,服务横向扩展不方便。
  2. session数量随着登录用户的增多而增多,存储会增加很多。
  3. session+cookie里面存sessionId的方式可能会有csrf攻击的问题,常见的方式是使用csrf_token来解决

jwt方式

  1. jwt的过期时间需要结合业务做设置,而且jwt一旦派发出去,后端无法强行使其作废

后话

理清概念,一身轻松

本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/48466.html

如有侵犯您的合法权益请发邮件951076433@qq.com联系删除

(0)
优化家优化家订阅用户
上一篇 2022年7月4日
下一篇 2022年7月4日

相关推荐

  • 我来分享网站快速获得排名的优化技巧是什么。

    各行各业巨头都明白,把自己网站的主要关键词做到首页可以带来很可观的流量,从而为自己的企业带来很大的效益。但在互联网对于传统企业来说,还不是很了解,这可如何是好?就目前而言,做好网站优化,就可以在起跑线…

    2023年6月21日
    00
  • 分享网站色彩搭配的设计技巧是什么。

    企业在有网站建设需求的时候,一般都会去寻求专业建站企业的帮助,在其帮助之下,可以更好的建设自己的企业网站,因此这也是建站的一个重要途径。专业建站企业在进行建站的过程当中有一个非常重要的方面就是色彩搭…

    2023年6月13日
    02
  • 经验分享vsc如何自动创建html。

    Visual Studio Code(简称VSCode)是一款轻量级但功能强大的代码编辑器,它支持多种编程语言和文件格式,在VSCode中,我们可以使用内置的HTML模板来自动创建HTML文件,以下是如何使用VSCode自动创建HTML文件的详细…

    2024年6月24日
    00
  • 聊聊html如何设置图片左对齐。

    在HTML中,我们可以使用CSS样式来设置图片的对齐方式,左对齐是其中一种常见的对齐方式,以下是详细的技术教学: (图片来源网络,侵删) 1、我们需要创建一个HTML文件,并在其中插入一张图片,可以使用<img>…

    2024年6月24日
    00
  • 我来说说css face。

    在网页设计中,图标的使用可以增加页面的美观性和可读性,Facebook图标是许多网站和应用程序中常见的一个图标,它代表了社交媒体巨头Facebook,要实现这个图标,我们可以使用CSS来创建一个简单的图标。 我们需要准…

    2024年6月13日
    00
  • 企业网站如何实现百度99%的收录。

    在国内,广州SEO者说的收录,其实绝大多数是百度对网站内容收录,因为国内搜索领域百度占60%%以上搜索份额,百度收录做好了其他搜索引擎收录也不会差到哪里去。 那么什么是百度收录、百度收录有什么作用、怎么实现…

    2022年6月28日
    0158
  • 我的网页设计之路。

    学生问:老师,能讲讲你怎么喜欢上做网页的呢? 答:2006年高考之后的暑假,一个偶然的机会,从电视上看到,关于四个身价上亿的财富新贵的采访,他们的事业无不跟网站有莫大的关系。 网站的神奇,让我特别想探知究…

    2022年7月3日
    0102
  • 企业网站要怎样才不会成为摆设。

    现如今许多企业网站都由于网站功能上的缺陷,导致企业形象简陋,加上经营者对官网的不及时更新维护,使得企业在一定程度上陷入网站无用的尴尬局面。相信对这种情况很多企业都有过相关的分析,网上相关的介绍很多,…

    2022年7月3日
    0168

联系我们

QQ:951076433

在线咨询:点击这里给我发消息邮件:951076433@qq.com工作时间:周一至周五,9:30-18:30,节假日休息