客户端(ios和android)与服务器之间的会话管理(session和cookie)
客户端访问服务器接口需要携带根据username和password生成的access_token,
即访问所有(除获取access_token的接口)都要携带access_token,
服务器端通过拦截器判断用户access_token是否失效等.
应用场景:
1.浏览器访问服务器获取access_token接口,通过username和password获取access_token.
2.服务器根据username和password生成access_token,并将access_token放到session中并返回,如下:
HttpSession httpSession = request.getSession(true);
httpSession.setAttribute("access_token", accessToken);
3.浏览器访问所有接口(除获取access_token的接口)时都携带access_token,服务器端作如下对比:
HttpSession httpSession = request.getSession(true);
String reqeustAccessToken = request.getParameter("access_token");
String sessionAccessToken = (String)httpSession.getAttribute("access_token");
if(reqeustAccessToken != null && reqeustAccessToken.equals(sessionAccessToken)) {
//如果相等,说明access_token是有效的.
}
测试结果:
1.打开浏览器,通过chrome的rest模拟插件,调用服务器获取access_token的接口,
通过username和password获取access_token.
2.携带access_token访问其他服务接口,没有问题,可以正常获取数据.
3.关闭浏览器重新携带刚才获取的access_token访问获取数据的接口,提示access_token失效.
通过如上测试,说明是没有问题的.
发现问题:
通过网页的形式访问是没有问题的,如上,其实可以理解为,打开浏览器,其实就是打开了一个会话,
关闭浏览器,即关闭了会话.
问题是:客户端,即ios和android每次访问接口就相当于打开了一个会话,所以单纯通过上面的机制
是有问题的,即携带刚刚获取的access_token访问其他服务接口时,打印sessionAccessToken为空.
解决方案:
解决方案是:引入cookie机制?即客户端必须支持cookie,每次都将访问服务接口返回的cookie存起来,
下次访问接口时都携带上次的cookie,这样问题就解决了.
问题:服务器中只是对session进行了解析,如下:
HttpSession httpSession = request.getSession(true);
String reqeustAccessToken = request.getParameter("access_token");
String sessionAccessToken = (String)httpSession.getAttribute("access_token");
if(reqeustAccessToken != null && reqeustAccessToken.equals(sessionAccessToken)) {
//如果相等,说明access_token是有效的.
}
并没有对cookie做任何解析,服务器是自动完成工作的?
工作原理:
1.客户端访问服务器获取access_token接口,通过username和password获取access_token.
2.服务器根据username和password生成access_token,并将access_token放到session中并返回,如下:
HttpSession httpSession = request.getSession(true);
httpSession.setAttribute("access_token", accessToken);
注意:session的管理机制可以理解为一个集合,这个集合存放在内存中.
3.客户端获取access_token后,将服务器返回的cookie添加到本地,注意:cookie中存放的是session信息.
4.客户端再次携带access_token访问服务器接口,同时携带上cookie信息.
5.服务器端再执行HttpSession httpSession = request.getSession(true);时,服务器会自动读取cookie信息,
获取cookie中session信息,再根据session信息,从session集合中获取对应的session,然后再从session中获取
sessionAccessToken,最后做比较,判断access_token是否有效.
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。