用户在浏览器做一系列操作,后台服务怎么判断这些操作是来自同一个用户?
1. seesion
用户登录后,后台生成 sessionid 返回给浏览器,浏览器的每次请求带上 sessionid,后台关联 sessionid 和用户信息。在分布式系统中,需要使用 redis 或 memcached 等中间件。
2. token
用户登录后,后台根据用户信息,指定算法,私钥生成 token,然后返回 token 给浏览器,浏览器的每次请求带上 token,后台收到 token 后,重新计算生成签名验证 token,token 中带有用户信息。
相关技术:JSON Web Token
header.payload.signature
盗图一张
服务器端保存的私钥非常重要