@nekolov

Что может значить термин токен авторизации?

Добрый вечер,

Заранее извинюсь если вопрос прозвучит странно, но часто в интернете встречается понятие токен авторизации, при этом не уточняется абсолютно не каких деталей, речь идет именно про программный токен. Приведу пример пользователь авторизуется через cgi(py/php/java....) приложение и получает свою сессию то в данном случае номер сессии является синонимом токена авторизации?
  • Вопрос задан
  • 371 просмотр
Пригласить эксперта
Ответы на вопрос 2
@luna3956
то в данном случае номер сессии является синонимом токена авторизации?

В общих чертах похоже, да, но все же это разное. Если в двух словах, то речь о разных способах аутентификации - на основе куки и на основе токенов(чаще всего jwt-токен имеется в виду, так что для подробностей гуглите именно это).

В первом случае(на основе куки) в общих чертах происходит следующее: после отправки пользователем своих данных(логина и пароля) на сервере создается id сессии, этот айдишник записывается в базу данных и помещается в куки браузера пользователя. Затем при каждом обращении пользователя к серверу айдишник сессии из куки сверяется с айдишником сессии в базе данных, если совпадают - все ок.

Во втором случае(на основе токенов) происходит следующее: пользователь отправляет логин и пароль, если все норм то в ответ на это сервер возвращает подписанный jwt-токен. На клиенте этот токен куда-нибудь сохраняется(например в локальную базу) после чего в каждый запрос отправленный клиентом добавляется этот самый jwt-токен. Сервер декодит полученный токен и если все норм то запрос обрабатывается. Ну и отмечу, что и в этом случае можно хранить jwt-токен в тех же куках и брать на проверку на оттуда, это уже не суть важно.

Способы похожи, но все же разные. В первом случае есть так называемое состояние - то есть и сервер и клиент должны хранить айдишник сессии, сервер мониторит/ведет эти сессии в базе данных и т.д. В случае же с jwt-токеном от понятия состояние по сути избавляемся - серверу не важно кто вошел в систему, с помощью какого именно токена и т.д. То есть в данном случае токен самодостаточен и кроме этого токена серверу ничего больше не надо чтобы определить все ок или нет.
Ответ написан
Комментировать
NeiroNx
@NeiroNx
Программист
Время жизни сессии меньше и не регулируется.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы