1回答

米琪卡哇伊

1、session的目的是为了在服务器端维护用户的信息，为了避免大量用户接入，而每个用户访问时长都很短，这才给session添加超时的约束。基于这个前提，session一般设计的时候可以不需要每次操作都需要刷新，一旦超时，可以让用户再次登录。当然用户体验上不是很好，但是这自然是没问题的。我们一般采用折中的方案，我们选取操作流程中的安全点，安全点是指我们核心业务中用户必定会操作的点，只在安全点上进行刷新用户session，这样可以解决你的问题。2、token机制是为了安全，但是仅仅使用token时不够的，结合你的第一个问题，一般都是用户登录的时候生成token，而且token必须经常刷新。如果没有token保护，web接口基本上任何人都可以调用，如果是一般read操作也就罢了，但是如果是写操作，想想就可怕，直接通过接口篡改用户数据。。。3、jessionId这是框架生成Id，但是我们一般都是全局session，所以sessionId都是自己生成的。cookie和session功能都是一样的，都是为了保存用户信息，只不过一个在客户端一个在服务器。至于用不用，怎么用还是看需求，辅之安全性考虑。建议你读一下HTTP的RFC文档，你说的这几个问题涉及到HTTP的用户信息保存、安全性。

0 0

0