Ответы пользователя по тегу Сессии
  • Что может значить термин токен авторизации?

    @luna3956
    то в данном случае номер сессии является синонимом токена авторизации?

    В общих чертах похоже, да, но все же это разное. Если в двух словах, то речь о разных способах аутентификации - на основе куки и на основе токенов(чаще всего jwt-токен имеется в виду, так что для подробностей гуглите именно это).

    В первом случае(на основе куки) в общих чертах происходит следующее: после отправки пользователем своих данных(логина и пароля) на сервере создается id сессии, этот айдишник записывается в базу данных и помещается в куки браузера пользователя. Затем при каждом обращении пользователя к серверу айдишник сессии из куки сверяется с айдишником сессии в базе данных, если совпадают - все ок.

    Во втором случае(на основе токенов) происходит следующее: пользователь отправляет логин и пароль, если все норм то в ответ на это сервер возвращает подписанный jwt-токен. На клиенте этот токен куда-нибудь сохраняется(например в локальную базу) после чего в каждый запрос отправленный клиентом добавляется этот самый jwt-токен. Сервер декодит полученный токен и если все норм то запрос обрабатывается. Ну и отмечу, что и в этом случае можно хранить jwt-токен в тех же куках и брать на проверку на оттуда, это уже не суть важно.

    Способы похожи, но все же разные. В первом случае есть так называемое состояние - то есть и сервер и клиент должны хранить айдишник сессии, сервер мониторит/ведет эти сессии в базе данных и т.д. В случае же с jwt-токеном от понятия состояние по сути избавляемся - серверу не важно кто вошел в систему, с помощью какого именно токена и т.д. То есть в данном случае токен самодостаточен и кроме этого токена серверу ничего больше не надо чтобы определить все ок или нет.
    Ответ написан
    Комментировать