我一直听说,由于移动互联网的爆炸式增长,基于会话的身份验证已经死了。现在,Web 开发现在使用基于令牌的身份验证。
有人可以解释导致此更改的基于会话和cookie的身份验证的问题是什么,以及基于令牌的身份验证如何解决问题?
基于 cookie
的身份验证问题是由 cookie 工作机制引起的。基于 cookie 的身份验证的缺点是:
- Cookie + CORS 在不同的域中不能很好地发挥作用。
- 您需要防止您的 API 受到 CSRF 攻击。
- 移动平台。 Cookie 适用于网络浏览器。您需要为难以实现的移动原生平台做额外的工作。
有关本主题的更多详细信息。以下链接是您要去的地方 饼干与令牌.正确使用Angular进行身份验证.JS
就我个人而言,我也批评基于会话的身份验证,因为它会影响可扩展性,并且不适合无服务器或无状态计算的趋势,以及我们正在走向的 Lambda 和 Beanstalk 某种服务。这里已经有一个很好的答案:https://security.stackexchange.com/a/92123