session和token

1.相同點：session和token都是登錄校驗的一種實現(xiàn)方式

2.session和token的差別

session校驗流程：

1）提交用戶名和密碼；

2）后端驗證通過，服務(wù)器保存用戶登錄信息，并將sessionID響應(yīng)給客戶端；

3）登錄后每次請求將攜帶cookie服務(wù)器提取cookie中的sessionid和后端保存的信息進行比對；

session測試點：

1）功能測試：需要用到cookie，很多瀏覽器禁用cookie

2）性能測試：session保存位置（服務(wù)器）

session核心區(qū)別點：

1）服務(wù)器需要保存登錄信息

2）大部分web采用該機制

token校驗流程：

1）提交用戶名和密碼

2）后端驗證通過后生產(chǎn)令牌（特殊的字符串）響應(yīng)給客戶端(一般服務(wù)器不存儲任何登錄記錄；不限于cookie、響應(yīng)體；客戶端客戶端通常需要執(zhí)行保存，前端人員自己想辦法)

3）登錄后的每次請求將攜帶token服務(wù)器檢查token合法性（由特定規(guī)則算法生成；后端最常見）

token核心區(qū)別點：

1）不需要存儲登錄信息在服務(wù)器

2）app比較常用

token測試點

1）本身自帶防偽標(biāo)注，由客戶端保存

2）其他軟件竊取

3）安全性測試