简聊 Session 与 Token 身份验证

前言

当我们账号密码登陆以后,如何确保用户认证是我们每一个phper都会遇到的问题,从最开始的SessionToken ,让我们带着求知欲了解一下它。


Session时代

Web开发使用Http协议,HTTP协议最初是匿名的,无状态的请求/响应协议。这样简单的设计可以使HTTP协议专注于资源的传输(HTTP是超文本传输协议);随着WEB的发展,业务需要确定客户端的唯一性,引入session会话这个概念 。PHP设置session 整个过程如下,我们一步一步探究其中,服务器采用的LNMP
file

1. 发送请求。
请求http://test.com:8080/index.php

2. 开启session,并根据php.ini配置保存session。

  • 首先我们在服务端代码开启Session (因php.ini并没有默认开启,需程序开启)
    // 开启session
    session_start();
    // 设置session的值,稍后测试给该是否能取出
    $_SESSION['name'] = 'phper';
    echo 'weclome to session start!';
  • 然后查看php.ini中session保存的路径,默认文件保存的话,保存路径为/tmp,文件名为默认为sess_{session_id}。主要查看以下参数参数:
    session.save_handler = files
  • 下来我们登陆服务器查看/tmp目录下的查看该Session文件。即sess_689u7fiqejt70dujb9uk44eq79文件。(此处可能会有疑问,我们是怎么知道session_id = 689u7fiqejt70dujb9uk44eq79?再次先埋一处伏笔。)
    file

3. 查看本次请求,服务器响应头携带session_id信息。
file
查看响应头信息,就是在此处知道了session_id = 689u7fiqejt70dujb9uk44eq79。因此才会有在步骤2中查看文件。其中path=/指的是cookie储存浏览器的位置。浏览器将session_id保存在客户端本地,存在cookie。如下图所示:
file

4.再次发送请求,请求头携带session_id请求服务端
我们只需再次请求http://test.com:8080/index.php,浏览器会在请求头中携带着这个保存session_id的cookie去请求服务端。我们查看请求头中即可看到:
file
5.校验session_id来确认客户端身份
该操作是php的session机制来完成的。我们可以检测以下看是否能取出刚才设置的$_SESSION['name']就可验证。

  • 我们修改index.php代码如下:

    // 开启session
    session_start();
    // 设置session的值,稍后测试给该是否能取出
    echo $_SESSION['name'];
  • 我们再次请求http://test.com:8080/index.php,请求头中以及携带着session_id信息:
    file

  • 我们换一个PostMan模拟非法请求看是否能获取到$_SESSION['name']内容?是无法获取到信息
    file

  • 尝试,我们在PostMan中把前面的cookie=689u7fiqejt70dujb9uk44eq79携带到请求头看是否能获取到信息?是可以获取到信息
    file


以上就是整个请求流程的介绍,我们可以看出来session_id信息是非常重要的。有关PHP关于Session的配置项和使用说明


Token时代

web2.0时代的项目都采用 前后端分离。以Token这种方式的用户认证更受大家欢迎。Token可以解决哪些问题呢?
1.Token 完全由应用管理,所以它可以避开同源策略
2.Token 可以避免 CSRF 攻击
3.Token 可以是无状态的,可以在多个服务间共享

有状态Token

有状态Token就是将Token的相关属性(eg:Token过期时间等)记录在服务端。我们用图表述颁发token,校验token,token过期这三个场景。

  1. 颁发token
    file
  2. 服务端校验token
    file
  3. token过期
    file

无状态Token

无状态Token就是将Toekn的相关属性(eg:Token过期时间等)保存在Token中,JWT就是一种无状态的Token。JWT这里不详细说明,我们主要看下几个流程:

  1. 颁发token
    file

  2. 服务端校验token
    file

所以,有状态的Token 与 无状态的Token 面临的问题就是 有状态要占用服务器资源并且不利于分布式,微服务等架构。有状态刚好能解决这个问题,但是无状态的Token ,不存在Token黑白单这种需求


参考文章:
JWT 超详细分析
PHP.ini中的session主要配置详解

本作品采用《CC 协议》,转载必须注明作者和本文链接
本帖由系统于 4年前 自动加精
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 3

有状态Token是不有点类似第三方登录的oauth?

5年前 评论

@lovecn
我理解如下:
有状态的Token只是用户认证的(标识用户)一个方式。
第三方登录的OAuth 2.0 是一规范标准,有点像设计模式

拿微信登陆来说吧。微信登陆流程就是采用的就是 OAuth 2.0。当整个流程走完。服务端向资源服务器拿到用户数据后(可以理解为普通的账号密码匹配正确),服务端需要向客户端返回一个用户标识,不论采用的Token 还是 Session。目的都是为了标识用户。这两者其实没有关系

5年前 评论

token有状态了,那是不是用session优势会更多些了!

3年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!