彻底理解 Cookie、Session、Token

高猿1年前 ⋅ 2034 阅读

比如说, 小F已经登录了系统, 我给他发一个令牌(token), 里边包含了小F的 user id, 下一次小F 再次通过Http 请求访问我的时候, 把这个token 通过Http header 带过来不就可以了。

不过这和session id没有本质区别啊, 任何人都可以可以伪造, 所以我得想点儿办法, 让别人伪造不了。

那就对数据做一个签名吧, 比如说我用HMAC-SHA256 算法,加上一个只有我才知道的密钥, 对数据做一个签名, 把这个签名和数据一起作为token , 由于密钥别人不知道, 就无法伪造token了。

NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。

https://mp.weixin.qq.com/s?__biz=MzI2OTQ4OTQ1NQ==&mid=2247487903&idx=2&sn=fa734c76bd4c9e30823001d61562a91a&chksm=eaded5dfdda95cc9230709316badbcc7ac58a3af2b780b8e20a296cb3cff3afa248be12f8601

全部评论: 0

    相关推荐