Session与Token

标签: token  session

Session和token是网络连接中常用到的两种机制,一般用来保持连接的客户端信息,但两种实现存在差异。

session

session是由Web服务器维护的一种连接信息,可以用来存储当前连接的客户端相关信息。session默认超时时间为30分钟,可进行配置。使用postman进行接口测试时,每次连接使用一个新的session。如果两个连接想使用同一个session,可以在将第一个请求返回的JSession(见图一),放在第二个请求的header中添加的cookie里(见图二)。
图一
图二
例如,当用户登录成功时,在session里保存用户信息

httpSession.setAttribute("curUser", dbUser);

在连接中获取用户信息

BUserInfo curUser = (BUserInfo) httpSession.getAttribute("curUser");

token

token是一种令牌口令,一般由header、body、signature三部分组成。当客户端登录到服务器时,由服务器生成,返回给客户端,并在服务器的缓存或数据库保存签名。token的生成会用到用户信息,并使用一个密钥按某种算法加密,并可以设置过期时间。当客户端再次连接服务器时,带上token,服务器端通过验证并解析出用户信息即可,省去了每次需要传输用户名、密码的烦恼。

token工具示例如下:

public class JwtUtils {
    private final static String key = "project";
    private final static Long ttl = 43200000L;//12小时

    /**
     * 设置认证token
     *      id:登录用户id
     *      name:登录用户名
     *
     */
    public static String createJwt(String id, String name, Map<String,Object> map) {
        //1.设置失效时间
        long now = System.currentTimeMillis();//当前毫秒
        long exp = now + ttl;
        //2.创建jwtBuilder
        JwtBuilder jwtBuilder = Jwts.builder().setId(id).setSubject(name)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, key);
        //3.根据map设置claims
        for(Map.Entry<String,Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(),entry.getValue());
        }
        jwtBuilder.setExpiration(new Date(exp));
        //4.创建token
        String token = jwtBuilder.compact();

        return token;
    }

    /**
     * 解析token字符串获取clamis
     */
    public static Claims parseJwt(String token) {
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();

        return claims;
    }

}

session与token区别

session由服务器维护,使用简单,只能单服务器使用。token需要程序实现生成,略显复杂,但可以用于分布式场景。

原文链接:加载失败,请重新获取