客户端(ios和android)与服务器之间的会话管理(session和cookie)

项目前提:
客户端访问服务器接口需要携带根据username和password生成的access_token,
即访问所有(除获取access_token的接口)都要携带access_token,
服务器端通过拦截器判断用户access_token是否失效等.


应用场景:
1.浏览器访问服务器获取access_token接口,通过username和password获取access_token.
2.服务器根据username和password生成access_token,并将access_token放到session中并返回,如下:
  HttpSession httpSession = request.getSession(true);
  httpSession.setAttribute("access_token", accessToken);
3.浏览器访问所有接口(除获取access_token的接口)时都携带access_token,服务器端作如下对比:
  HttpSession httpSession = request.getSession(true);
  String reqeustAccessToken = request.getParameter("access_token");
  String sessionAccessToken = (String)httpSession.getAttribute("access_token");
  if(reqeustAccessToken != null && reqeustAccessToken.equals(sessionAccessToken)) {
//如果相等,说明access_token是有效的.
  }


 测试结果:
 1.打开浏览器,通过chrome的rest模拟插件,调用服务器获取access_token的接口,
   通过username和password获取access_token.
 2.携带access_token访问其他服务接口,没有问题,可以正常获取数据.
 3.关闭浏览器重新携带刚才获取的access_token访问获取数据的接口,提示access_token失效.
 通过如上测试,说明是没有问题的.


发现问题:
 通过网页的形式访问是没有问题的,如上,其实可以理解为,打开浏览器,其实就是打开了一个会话,
 关闭浏览器,即关闭了会话.
 问题是:客户端,即ios和android每次访问接口就相当于打开了一个会话,所以单纯通过上面的机制
 是有问题的,即携带刚刚获取的access_token访问其他服务接口时,打印sessionAccessToken为空.


 解决方案:
 解决方案是:引入cookie机制?即客户端必须支持cookie,每次都将访问服务接口返回的cookie存起来,
 下次访问接口时都携带上次的cookie,这样问题就解决了.


 问题:服务器中只是对session进行了解析,如下:
  HttpSession httpSession = request.getSession(true);
  String reqeustAccessToken = request.getParameter("access_token");
  String sessionAccessToken = (String)httpSession.getAttribute("access_token");
  if(reqeustAccessToken != null && reqeustAccessToken.equals(sessionAccessToken)) {
//如果相等,说明access_token是有效的.
  }
  并没有对cookie做任何解析,服务器是自动完成工作的?


  工作原理:
  1.客户端访问服务器获取access_token接口,通过username和password获取access_token.
  2.服务器根据username和password生成access_token,并将access_token放到session中并返回,如下:
    HttpSession httpSession = request.getSession(true);
    httpSession.setAttribute("access_token", accessToken);
    注意:session的管理机制可以理解为一个集合,这个集合存放在内存中.
  3.客户端获取access_token后,将服务器返回的cookie添加到本地,注意:cookie中存放的是session信息.
  4.客户端再次携带access_token访问服务器接口,同时携带上cookie信息.
  5.服务器端再执行HttpSession httpSession = request.getSession(true);时,服务器会自动读取cookie信息,
    获取cookie中session信息,再根据session信息,从session集合中获取对应的session,然后再从session中获取
    sessionAccessToken,最后做比较,判断access_token是否有效.

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。