Scelta del token durante la sessione o viceversa?

3

Volevo creare un'interazione utente sicura con il server, ma mi sono imbattuto in un token o una sessione. Ecco un paio di opzioni a cui ho pensato:

  1. Ho imparato JWT, ho creato un token e l'ho inviato avanti e indietro tra server e client nel mio server locale. Sembra una buona cosa da fare, poiché usando HTTPS, solo due parti saranno in grado di comunicare tra loro, quindi abbastanza sicuro.

  2. Tuttavia, quando ho consultato i siti Web come Facebook, Twitter, Instagram, non hanno token, ma hanno una sessione con un gruppo di variabili. Presumo che siano per l'autenticazione.

Quale opzione è il modo giusto di optare? Opto per scegliere il token, poiché è sicuro, dico, perché il server oneroso con il client di caricamento può gestire quando è possibile eseguire il download se viene utilizzato il token.

Tuttavia, ho la sensazione che i token non siano fondamentalmente usati nel sito web, ma solo nelle API.

    
posta Rockink 24.08.2015 - 18:14
fonte

1 risposta

1

Un token e una sessione sono fondamentalmente la stessa cosa su una vista diversa. Un cookie sarebbe una cosa diversa.

Poiché il protocollo HTTP è stateless, il server deve disporre di un modo per mantenere lo stato della connessione. Una sessione (generalmente) è un file memorizzato sul server , con tutte le variabili di stato del client su di esso. Il token è il valore di ritorno dal client, quindi il server sa quale file leggere. Una sessione e il suo token sono più sicuri di un cookie perché il client non può modificare campi arbitrari e genera meno traffico.

Un cookie è un altro approccio: è un file memorizzato sul client con tutti i dati della sessione. Memorizzano tutti i dati della connessione. Non mi piacciono i cookie a causa del sovraccarico di fare in modo che il client non abbia modificato alcun valore.

    
risposta data 24.08.2015 - 19:36
fonte

Leggi altre domande sui tag