一、背景说明

在开发登录功能时，难以避免的会面临选择何种会话技术，来对用户的登录状态进行认证和校验。常见的三种方式包括：

• cookie
• session
• JWT令牌

下面依次展开对这三种会话技术的优缺点进行说明。

二、会话技术之 Cookie

1、为什么说cookie是客户端会话技术

cookie是一种客户端会话技术，他是存储在浏览器的，那为什么说他是客户端会话技术呢？可以看以下代码来证明：

private static void set(HttpServletResponse response, String key, String value, String domain, String path, int maxAge, boolean isHttpOnly) {Cookie cookie = new Cookie(key, value);if (domain != null) {cookie.setDomain(domain);}cookie.setPath(path);cookie.setMaxAge(maxAge);cookie.setHttpOnly(isHttpOnly);response.addCookie(cookie);//直接响应给浏览器，没有存储在服务器端}

他是由服务器端，通过response对象直接响应给浏览器的，并没有存在服务器中。
下图就是服务器响应给客户端浏览器的cookie

2、cookie的优点和缺点

优点

• 他是HTTP协议中支持的技术
• 占用更少的内存，不需要任何服务器资源，并存储在用户的计算机上，因此不会给服务器带来额外的负担。

缺点

• 移动端APP无法使用cookie
• 不安全，用户可以自己禁用浏览器的cookie
• cookie不能跨域

补充说明一下，跨域区分的三个维度：协议、域名/IP、端口

三、会话技术之 Session

1、为什么说Session是服务端会话技术

Session是一种服务端会话技术，他是存储在服务器上的，那为什么说他是服务器会话技术呢？可以看以下代码来证明：

public static String getValue(HttpServletRequest request, String key) {HttpSession session = request.getSession();session.setAttribute("login",key+"_"+ UUID.randomUUID());.......}

当客户端第一次请求服务器的时候，服务器会为客户端创建一个session，并将通过特殊算法算出一个session的ID，用来标识该session对象

下图是浏览器请求服务器端接口时，浏览器会把之前服务器端生成的sessionID，通过请求头带给服务器

2、session的优点和缺点

优点

• 存储在服务器端，比较安全

缺点

• 服务器集群环境下无法直接使用session

四、令牌技术JWT

1、JWT 的原理

服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{
“姓名”: “张三”,
“角色”: “管理员”,
“到期时间”: “2018年7月1日0点0分”
}
以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。

服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。

2、JWT的优点和缺点

优点

• 支持pc端、移动端
• 解决集群环境下的认证问题
• 减去服务器端的存储压力

缺点

• JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

• JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。