基于会话的身份验证与基于令牌的身份验证的区别

基于会话和令牌的身份验证方式，使得服务器能够信任由经过身份验证的用户通过互联网发送的任何请求。这样一来，用户就可以无需不断输入自己的凭据来与自己的账户进行交互了。这些方法通常用于不同的目的。
例如在网站应用程序中，通常使用会话机制；而在服务器之间的连接中，则更倾向于使用令牌机制。

会话认证

A 会议/会话这是一个较小的文件，很可能以JSON格式存储数据。该文件包含了关于用户的信息，比如唯一的标识符、登录时间以及有效期等。这个文件在服务器上生成并存储起来，这样服务器就能跟踪用户的请求。用户会收到一些这些信息，尤其是标识符，这些信息会以Cookie的形式被发送出来，这样服务器就能识别出用户的身份，并授权用户的请求。

工作/运作

1. 用户向服务器发送了登录请求。
2. 服务器会验证登录请求的有效性，然后将会话信息发送到数据库中。之后，服务器还会向用户返回一个包含会话ID的Cookie。
3. 现在，用户会发送新的请求（同时携带了Cookie信息）。
4. 服务器会在数据库中查找与Cookie中的ID相对应的信息。如果找到了该ID，那么就会向用户发送所请求的页面内容。

优点/缺点

由于会话数据存储在服务器上，因此服务器的管理员可以完全控制这些会话数据。例如如果安全团队怀疑某个账户已经遭到攻击，他们可以立即取消该账户的会话ID，从而让用户立即被注销。另一方面，由于会话数据存储在服务器上，因此由服务器来负责查询用户所发送的会话ID。但这可能会带来可扩展性问题。

Cookie可能会受到跨站请求伪造攻击的威胁。攻击者可以诱使用户访问恶意网站，而此时，某些JavaScript脚本可能会利用Cookie来向服务器发送恶意请求。另一个漏洞则与中间人攻击有关，攻击者可以截获会话ID，然后向服务器发送有害的请求。

基于令牌的身份验证

A 代币这是一种不可被篡改的授权文件。它由服务器使用秘密密钥生成，然后由用户将其存储在本地存储中。与Cookie类似，用户每次发出新的请求时都会将此令牌发送给服务器，这样服务器就可以验证其签名并授权该请求。

工作/运作

1. 用户向服务器发送了登录请求。
2. 服务器允许登录，并向用户发送一个令牌。
3. 现在，用户发送了一个新的请求，该请求附带了令牌。
4. 服务器会检查该令牌是否有效。如果令牌有效，那么服务器就会将用户请求的页面内容发送给用户。

注意：那些都是……不 认证文件它们是/指的是那些东西。授权对象/主体在接收令牌的过程中，服务器会执行以下操作：不只需查询一下该用户的身份信息即可，因为系统只是基于令牌的有效性来授权该用户的请求。

优点/缺点

当用户希望减少发送凭证的次数时，令牌就非常有用。在服务器与服务器之间的连接中，使用凭证会变得很麻烦，而令牌则可以解决这个问题。此外，使用令牌的服务器还能提升性能，因为它们不必不断查看所有的会话信息来授权用户的请求。

不过，认证信息存储在客户端上，因此服务器无法像在会话方法中那样执行某些安全操作。如上所述，服务器不会对用户进行身份验证，因此将令牌与用户关联起来会变得更加困难。如果攻击者能够获取有效的令牌，他们就可以无限制地访问服务器的数据库。此外，如果服务器使用较旧的算法来生成密钥，那么这些密钥就有可能被破解。

基于会话认证方式与基于令牌的认证方式之间的区别

会话认证方式