- 登录和授权的区别
- 登录:身份认证,即确认【你是你】的过程
- 授权:由身份或持有的令牌确认享有某些权限(例如获取用户信息)。登录过程的目的实际上也是为了确认权限
因此在实际应用中,多数场景下的登录和授权的界限是模糊的
- Http中确认授权(或登录)的两种方式
- 通过cookie
- 通过Authorization Header
- COOKIE
- 起源:【购物车】功能的需求,由Netscape浏览器团队开发打造
- 工作机制:
- 服务器需要客户端保存的内容,放在set-cookie headers里返回,客户端会自动保存
- 客户端保存的cookies,会在之后的所有请求里都携带进cookie header返回给服务器
- 客户端保存的cookie是按照域名来分类的,例如shop.com发回的cookie保存下来以后,在之后向shop.com的请求中并不会携带
- 客户端保存的cookie会在超时后删除。没有设置超时时间的cookie(称做session cookie)在浏览器关闭后会自动删除。另外,服务器也可以主动删除未过期的客户端cookies