基于Token 认证和session 认证的比较
前言:本文解决的问题
- 基于session 认证的不足
- 基于 token 认证的过程
- session VS tooken
1.传统基于Cookie 认证的过程
长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull),也就是服务端和客户端都需要保存生成的session*,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下:
- 客户端登陆,一般输入用户名和密码
- 服务端如果验证通过,就会生成session,并把它存入数据库中
- 客户端在浏览器上会产生cookie,并把session写入
- 客户端后续有新的请求,都会在请求后携带sessIon,发给服务端
-
如果客户端登陆出去(log out),该生成的session就会在客户端和服务端都被销毁
如下图:
image
基于Session 认证的不足
正如图片所示,服务端需要保存每个用户的session,这对于很多访问用户的情景来说,服务端的负担很重,需要大量的的资源来存储session;另一方面不能很好解决跨域资源共享问题Cross-Origin Resource Sharing (CORS)。最重要的是cookie的使用引入了很多不安全因素,招致了很多专门针对cookie的攻击。
2. 基于token的认证
近年来,基于token的认证开始成为主流,不管是单个网页,还是web app,还是Internet of Things 。该认证方式是无状态的(stateless),客户端登陆成功后,服务端会生成一个token并把它返还给客户端,由于是无状态的,服务端不再保存该Token**。
问题来了,当客户端再发送请求时,服务端如何判断它曾经已经登陆了?类似Sesssion based authentication,客户端每次发送请求时也会携带Token。由于这里的Token是服务端用自己的密钥签名的,当它受到客户但的Token时,只需要再用自己的密钥去验证,就可以判断这个Token是不是刚自己签发的。这里面的核心就是用签名和验证,从而减轻了服务端的负担,无需再存储session,尤其是对于大型的分布式应用,减负很多。以下是具体的过程:
- 客户端用自己的机密信息登陆,如用户名和密码
- 服务端验证,验证通过,生成Token返还给客户端(一般用哈希算法,再加个随机数)。
- 客户端把Token写入local storage(本地内存),后续请求都携带该Token
-
服务端收到请求时验证Token,如果验证通过,则允许用户访问相应资源
token based authentication
问题
由于这里Token是后续用来登陆的唯一认证手段,如果用户关闭了网页,被其它别有用心的应用窃取到Token,拿它再来登陆就危险了。因此这里需要服务端给Tooken设置过期时间(expired time),不能太长,太长不安全;太短用户体验差。另外,当用户登出时,服务端要把当前Token设为黑名单(back list),防止被冒用。
3. 基于token的优点
- 无状态,stateless
服务端无需保存生成的Token,它需要做的就是签发Token,并验证它。由于Token中是含有需要验证的所有信息(签名算法、用户信息、签名),这就让服务端负载减轻了很多
- 交叉域和交叉域共享Cross-domain / CORS
Cookie和CORS在不同的域效果不好。而使用基于Token可以使API应用到不同的服务和域中。
- 可以在JWT中存储数据 Store Data in the JWT
我们知道,现通用的Token based Authentication 就是JOSN Web Token(jwt)。JWT包含头部(header),载荷(claim set), 和签名(signature)。可以在载荷中存放预定义的元数据,只要是JOSON格式就可以了。
- 不需要CSRF(cross-site-request-forgery)防护
由于不需要依赖Cookie,自然不用担心Cookie被截获,用户信息被伪造登陆问题。
代码补充
由于某系逻辑不需要故进行了删减。详细可参考注释信息。
4. 使用nodejs实现session
4.1. 获取cookie并写入session
//www.js
const http = require("http")
const PORT = 3000
const querystring = require('querystring')
const serverHandle = require("../app")
//创建服务,处理请求
const server = http.createServer(serverHandle)
server.listen(PORT, () => {
console.log('listening on PORT' + PORT)
})
//app.js
//...
let SESSION_DATA ={}
//JavaScript对象是存储在内存的堆中的,只要该进程不被重启,
//或使用某种淘汰算法淘汰其中的某些值,那么这个对象中的值和对象将长时间存在。
//当某一个请求进来后,下面的函数被激活,每个链接都会获取当前请求的cookie和sessionID
//如果cookie中没有sessionID,则生成一个sessionID并在SESSION_DATA中添加
//因此当浏览器在首次请求时,服务器仍然会返回一个sessionID。
const handleServer = (req,res)=>{
/...
//获取cookie
req.cookie = {}
const cookieStr = req.headers.cookie || ''
cookieStr.split(';').forEach(item => {
if (!item) {
return
}
const arr = item.split('=')
const key = arr[0].trim()
const val = arr[1].trim()
req.cookie[key] = val
});
//解析session
let userId = req.cookie.userid //判断请求cookie中是否有被添加userid(sessionID)
let needSetCookie = false //是否需要set-cookie
if (userId) {//cookie中有userid(sessionID)(之前set-cookie过)
if (!SESSION_DATA[userId]) {//服务器内存中不存在该session(可能过期)
SESSION_DATA[userId] = {}//使用该sessionID初始化一个新的session
}
}
else {//客户端未被添加过sessionID
needSetCookie = true
userId = (Date.now() + (Math.random() * 100).toFixed(0)) + ''//生成sessionID
SESSION_DATA[userId] = {}//初始化session
}
//设置req.session 指向全局的SESSION_DATA中的某一条session(也就是刚才生成的或者cookie中sessionID相同的的那个session)
req.session = SESSION_DATA[userId]
}
//......
4.2. 登录,向session中添加信息。
//controller中用于处理登录的方法
const { PostLogin } = require('../controller/userController')
const { SuccessMoudle, ErrorMoudle } = require('../moudle/resMoudle')
//设置过期时间
const setCookieExpries = () => {
const d = new Date()
d.setTime(d.getTime() + (24 * 60 * 60 * 1000))
return d.toGMTString()
}
const handleUserRouter = (req, res) => {
const method = req.method
const url = req.url
const path = url.split('?')[0]
//使用GET模拟登录,不安全。
if (method === 'GET' && path === '/api/user/login') {
const { username, password } = req.query
const result = PostLogin(username, password)
return result.then(isSussful => {
//登录成功
if (isSussful) {
//向req.session.username中添加信息,由于req.session 之前设置为指向SESSION_DATA中的对应session,
//修改或向req.session对象中添加属性会对SESSION_DATA[sessionID]起作用。
//所以修改req.session会引起全局的SESSION_DATA变化
req.session.username = username
return new SuccessMoudle()
} else {
return new ErrorMoudle('登录失败')
}
})
}
//app.js
///...
const userData = handleUserRouter(req, res)
console.log(SESSION_DATA)
if (userData) {
if (needSetCookie) {
//在处理完每个请求后都应该向cookie中添加信息
res.setHeader('Set-Cookie', `userid=${userId};path=/;httpOnly;expires=${setCookieExpries()}`)
}
userData.then(result => {
res.end(
JSON.stringify(result)
)
}
)
return
}
4.3. 验证登录状态
//验证登录状态
if (method === 'GET' && req.path === '/api/user/login-test') {
if (req.session.username) {//判断SESSION_DATA[sessionID]中是否存在username属性,之前登录成功时添加过属性
return Promise.resolve(new SuccessMoudle(req.session))
} else {
return Promise.resolve(new ErrorMoudle("尚未登陆"))
}
}
}
module.exports = handleUserRouter
