在實作登入系統時,選擇使用 token 或 session 來管理使用者的登入狀態有各自的優缺點。以下是 token 與 session 的主要差異:
Session
- 儲存位置:Session 資料通常儲存在伺服器上,用戶端僅保存一個 session ID 的 cookie。
- 資源消耗:因為 session 資料儲存於伺服器,當大量用戶同時連線時可能會消耗大量的伺服器記憶體。
- 擴充性:在多個伺服器之間共享 session 狀態需要額外的設定,如 session 複製或集中式 session 儲存,這可能會增加複雜性。
- 安全性:Session ID 可能會被攔截,尤其是在非安全的網路連線下。
Token
- 儲存位置:Token 通常在用戶端儲存,如 JSON Web Tokens(JWT)。伺服器不需保存登入狀況,只需驗證傳來的 token。
- 資源消耗:使用 token 減少了伺服器儲存需求,因為狀態儲存於用戶端。
- 擴充性:Token 是無狀態的,便於在多個伺服器或服務之間進行擴充,不需要同步狀態資訊。
- 安全性:Token 包含了驗證資訊並可以設置過期時間,增加安全性。但如果 token 被竊取,攻擊者可以獲得相應的權限。
使用場景
- Session 更適合需頻繁更改登入狀況或資訊較多的應用,如電子商務網站。
- Token 常用於需要擴充性強、伺服器解耦合、跨域請求多的場景,如單頁應用(SPA)或微服務架構。
根據應用場景和特定需求選擇適合的方法是關鍵。每種方法都有其適用情境,理解這些差異可以幫助你更好地設計和實作安全有效的登入系統。
![[PHP] Session 使用說明- 建立與刪除 Session](/assets/upload/1590906011930_0.jpg)
