/u/avatar/1xYqld-Gp8dgOo){kind=small}
前后端通信的安全性问题一直是一个比较重要的问题。本人想到的是在客户端本地存储一个Token,用token去执行各种修改操作,觉得本质上其实还是Cookie。
但是听说Session好像会更好,有无大佬给个具体的解决方案,感谢!!! 
前后端通信如何使用Session
129 views
Comments
登录后评论
Sign In/u/avatar/Gp5053-qKaoW4N){kind=small}
/users/-/avatars/9e7367b0-cb94-49e2-beeb-45a6be4fc573){kind=small}
cookie 和 session 并不冲突,通常是用 cookie 记录一个 sessionId,后端拿到这个 sessionId 可以恢复 session 的信息,比如 session 创建时间、有效期等,还可以拓展。
这个 sessionId 记录在 cookie 里面,通常设置为 httpOnly 和 secure,无法被前端 js 代码读取,传递都是自动的,保证安全。
session 通常和 jwt 进行对比,一般 session 更加好用,比如 session 能够中性化管理,实现拉黑恶意用户、拓展信息等功能,jwt 一旦发布出去就无法撤销(如果要实现撤销功能,需要 redis 之类的存储,本质和 session 一样了,失去了优势)。
session 通常授权到“人”,jwt 授权给 “机器”
/users/-/avatars/eef1bb43-c8f8-4ef4-9dfb-e5790818e001){kind=small}
/u/avatar/Mp8Gxp-JKmz8WO){kind=small}
/users/-/avatars/1a95850c-9fd0-4751-86a2-f7c8cf9c988c){kind=small}
/u/avatar/KKoP5V-OJ0gYAN){kind=small}
/users/-/avatars/258f9a50-cd84-48f9-96e1-f75e0ce3719b){kind=small}
/users/-/avatars/4cb682f9-1c9d-4782-ae93-6eb7ff531054){kind=small}