前后端分离需要token(令牌)来进行互通。
前端第一次登录后,后端使用userid,时间戳等信息组成字符串,然后使用加密技术来进行加密,这就是token,传给前端。以后前端在调用接口时,就把token带上,后端拦截器取得这个token后进行解密,如果可正常解密拿到相关数据,则认为是合法信息。
前端和后端分属不同项目,域名不同,需要用CROS进行跨域处理。
- HTTP是基于请求/响应模式、无状态的协议。
- 所有请求是相互独立的、无连续的。
- 服务器无法记住与识别客户。
一、cookie和session
session跟踪是web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是cookie和session。cookie通过在客户端记录信息确定用户身份,session通过在服务器端记录确定用户身份。
二、实现会话跟踪的技术
所有的HTTP消息,不管时请求还是响应均包含头消息
- 当返回响应给客户端时,Servlet容器会把会话的信息添加到响应头信息中。
- 客户端浏览器接收到响应后提取头信息,并将其存储在本地机中,再发送请求会将该信息带回服务器端
- 由浏览器存储在客户端机器上的头信息就称作cookie,以"属性名=属性值;"方式组成的文本信息。
从客户端读取cookie:
String cookieName = “userID”;
Cookie[ ] cookies = ();
if(cookies != null) {
for(int i=0; i<; i++){
Cookie cookie = cookies[i]; if((())){ //doSomethingWith(());
} } }
向客户端发送cookie
//创建Cookie对象
Cookie c = new Cookie("userId","a1234");
//设置最大失效
如果要告诉浏览器将cookie存储到磁盘上,而非仅保存在内存中,使用serMaxAge(秒数)
//将Cookie放入到HTTP响应中
(c);//如果没有这一步,将不会有任何cookie发送到浏览器中。
优缺点:
-
可配置到期规则,数据可持久保存
-
不需要服务器资源,数据保存到客户端
-
简单性,基于文本的key-value对
-
大小收到限制
-
用户可禁用客户端接收cookie的功能
-
潜在的安全风险
2. URL重写
客户程序在每个URL尾部添加额外的数据来标识会话.http://localhost/mysite/;jsessionid=1234
- cookie被禁用或者根本不支持的情况下依旧能够工作.
- 缺点:必须对所有URL进行编码
3.隐藏的表单域
- 缺点:所有页面必须是表单提交之后的结果
4.会话对象
会话对象生存于服务器上。会话自动通过cookie或URL重写与客户关联起来。
- 使用()来得到会话,系统检查cookie或附加在URL上的额外信息,看看是否与之前存储的会话对象的键相匹配。如匹配,返回该对象,否则创建新对象
- 在服务器端会创建一个session对象,产生一个sessionID来标识这个sessione对象,然后将这个sessionID放入到Cookie发送到客户端,下一次访问时,sessionID会发送到服务器,在服务器端识别不同的用户。
- sesison是依赖cookie,如果cookie禁用,那么session也失效。