该机制的核心在于服务器session和客户端sessionId的交互。用户登录完成后,服务器会构建用户会话session,会话内包含了用户标志及登录状态,并向浏览器返回sessoinId。之后用户在做其他接口请求时,将sessionId携带上。服务器检索到会话session并进行登录鉴权判断。
整个机制是十分简单明了的,但在设计细节上,还是由很多发挥的空间。我们先看一看session会话登录认证机制的基本流程
认证过程大致如下:
前面在《单web应用系统登录设计》中,都是从一个小型独立的web系统角度做的登录设计。要么是借助三方账号系统的Oauth2.0能力,要么是作为一个子业务系统直接使用单点登录的能力。
今天这一篇文章所要总结讲述的,就是如何在一个多模块web系统中,构建用户登录能力的技术方案。
对于对于一个大型的系统,往往具备两个及以上的产品或子业务系统。将其中的用户登录逻辑抽离出来,统一在一个页面进行一次页面登录,就能同时在各个子业务系统中达到登录的效果。
作者:流云诸葛
出处:http://www.cnblogs.com/lyzg/
http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断他是否有权限继续这个请求。这个过程就是常说的会话管理。它也可以简单理解为一个用户从登录到退出应用的一段期间。本文总结了3种常见的实现web应用会话管理的方式:
