jwt,只需要保存加密用的secret,在用户登录时将jwt加密生成并发送给客户端,由客户端存储,以后客户端的请求带上,由服务器解析jwt并验证,这样服务器不用浪费空间去存储登录信息,不用浪费时间去做同步...),并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证,或继续上一步操作,
5.2 什么是session
session,会话,简而言之就是在服务器上保存用户操作的历史信息...URL,将id放在url中,这个访问凭证一般来说就是SessionID,
5.3 cookie-session身份验证机制的流程
session和cookie的目的相同,都是为了克服http协议无状态的缺陷...,但完成的方法不同, session可以通过cookie来完成,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端...XSS,在appA上通过javascript获取document.cookie,并传递给自己的appB),
用户输入登录信息
服务器验证登录信息是否正确,如果正确就创建一个session,并把session