因为HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户地位。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁拜访都必要携带自己通行证。这样服务器就能从通行证上确定客户地位了。
基于 CookieSession 的认证方案一、CookieCookie的任务原理cookie指的就是在阅读器里面存储的一种数据,仅仅是阅读器实现的一种数据存储性能。cookie的保留时间,可以自己在程序中设置。假如没有设置保留时间,应该是一关闭阅读器,cookie就自动消散。
Cookie实际上是一小段的文本信息。客户端请愿服务器,假如服务器需要纪实该用户状态,就采用response向客户端阅读器颁发一个Cookie。客户端阅读器会把Cookie保留起来。当阅读器再请愿该网站时,阅读器把请愿的网址连同该Cookie一同提交给服务器。服务器查验该Cookie,以此来辨识用户状态。服务器还可以依据需要改动Cookie的内容。
留心:Cookie性能需要阅读器的支持。假如阅读器不支持Cookie(如大部门手机中的阅读器)或者把Cookie禁用了,Cookie性能就会失效。差异的阅读器使用差异的方式保留Cookie。IE阅读器会以文本文件格式保留,一个文本文件保留一个Cookie。
Cookie的不可跨域名性Cookie具有不可跨域名性。依据Cookie规范,阅读器拜访Google只会携带Google的Cookie,而不会携带Bau的Cookie。阅读器判断一个网站是否能操纵另一个网站Cookie的根据是域名。
二、SessionSession是另一种纪实客户状态的机制,差异的是Cookie保留在客户端阅读器中,而Session保留在服务器上。客户端阅读器拜访服务器的时候,服务器把客户端信息以某种格式纪实在服务器上。这就是Session。客户端阅读器再次拜访时只需要从该Session中查找该客户的状态就可以了。
假如说Cookie机制是通过查验客户身上的“通行证”来确认客户地位的话,那么Session机制就是通过查验服务器上的“客户明细表”来确定客户地位。
session也是相似的道理,服务器要知道当前发请愿给自己的是谁。为了做这种分辨,服务器就要给每个客户端分配差异的“地位标识”,然后客户端每次向服务器发请愿的时候,都带上这个“地位标识”,服务器就知道这个请愿来自于谁了。对于阅读器客户端,大家都默认使用cookie的方式,保留这个“地位标识”。
服务器采用session把用户的信息临时保留在了服务器上,用户离去网站后session会被烧毁。这种用户信息存储方式相对cookie来说更安。
可是session有一个不足:假如eb服务器做了负载均衡,那么下一个操纵请愿到了另一台服务器的时候session会丢失。
提示:Session的采用比Cookie便捷,但是过多的Session存储在服务器内存中,会对服务器造成包袱。
三、Cookie与Session的区别和接洽cookie数据寄存在客户的阅读器上,session数据放在服务器上;
cookie不是很安全,别人可以解析寄存在本地的COOKIE并进行COOKIE诱骗,斟酌到安全应当采用session;
session会在一定时间内保留在服务器上。当拜访增多,会对照占用你服务器的功能。斟酌到减轻服务器功能方面,应当采用COOKIE;
单个cookie在客户端的限制是3K,就是说一个站点在客户端寄存的COOKIE不能过份3K;
Cookie和Session的方案固然差别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依靠关系的,上面我讲到服务端执行session机制时候会生成session的值,这个值会发送给客户端,客户端每次请愿都会把这个值放到请愿的头部发送给服务端,而这个值在客户端会保留下来,保留的容器就是cookie,因此当我们彻底禁掉阅读器的cookie的时候,服务端的session也会不能正常采用。
四、基于token的认证方式在大多数采用Web API的互联网公司中,tokens是多用户下处置认证的最佳方式。
以下几点特征会让你在程序中采用基于Token的地位验证
1无状态、可开拓
2支持移动器材
3跨程序调用
4安全
五、Token的来源在介绍基于Token的地位验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。
基于服务器的验证我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请愿,从而识别客户端的地位。
在这之前,程序都是通过在服务端存储的登录信息来识别请愿的。这种方式一般都是通过存储Session来完成。
基于服务器验证方式暴露的一些疑问1Seesion:每次认证用户发起请愿时,服务器需要去创造一个纪实来存储信息。当越来越多的用户发请愿时,内存的开销也会不断增加。
2可开拓性:在服务端的内存中采用Seesion存储登录信息,陪伴而来的是可开拓性疑问。
3CORS(跨域资源共享):当我们需要让数据跨多台移动器材上采用时,跨域资源的共享会是一个让人头疼的疑问。在采用Ajax抓取另一个域的资源,就可以会显露制止请愿的场合。
4CSRF(跨站请愿仿造):用户在拜访银行网站时,他们很容易受到跨站请愿仿造的攻击,并且能够被应用其拜访其他的网站。
在这些疑问中,可开拓行是最突出的。因此我们有必须去寻求一种更有行之有效的想法。
六、基于Token的验证原理基于Token的地位验证是无状态的,我们不将用户信息存在服务器中。这种概念解决了在服务端存储信息时的很多疑问。NoSession意味着你的程序可以依据需要去增减机器,而不用去担心用户是否登录。
七、基于Token的地位验证的过程如下用户通过用户名和密码发送请愿。
服务器端程序验证。
3服务器端程序返回一个带签名的token给客户端。
4客户端储存token,并且每次拜访API都携带Token到服务器端的。
5服务端验证token,校验胜利则返回请愿数据,校验失败则返回过错码。
八、Tokens的优势无状态、可开拓在客户端存储的Tokens是无状态的,并且能够被开拓。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。tokens自己hold住了用户的验证信息。
安全性请愿中发送token而不再是发送cookie能够防范CSRF(跨站请愿仿造)。即使在客户端采用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操纵。
token是有时效的,一段时间之后用户需要重新验证。
可开拓性Tokens能够创造与其它程序共享权限的程序。
多平台跨域我们提前先来谈论一下CORS(跨域资源共享),对利用程序和服务进行开拓的时候,需要参与各种各种的器材和利用程序。
九、需要设置有效期吗?对于这个疑问,我们不妨先看两个范例。一个范例是登录密码,一般要求定期变更密码,以防范泄漏,所以密码是有有效期的;另一个范例是安全证书。SSL安全证书都有有效期,目标是为了解决吊销的疑问。所以无论是从安全的角度斟酌,还是从吊销的角度斟酌,Token都需要设有效期。
那么有效期多长适合呢?
只能说,依据系统的安全需要,尽可能的短,但也不能短得离谱
然后新疑问发生了,假如用户在正常操纵的过程中,Token过时失效了,要求用户重新登录……用户体会岂不是很糟糕?
一种方案,采用Refresh Token,它可以避免频繁的读写操纵。这种方案中,服务端不需要刷新Token的过时时间,一旦Token过时,就反馈给前端,前端采用Refresh Token申请一个全新Token继续采用。这种方案中,服务端只需要在客户端请愿更新Token的时候对Refresh Token的有效性进行一次查验,大大减少了更新有效期的操纵,也就避免了频繁读写。当然Refresh Token也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。
时序图表示采用Token和Refresh Token的时序图如下:1)登录
2)业务请愿
3)Token过时,刷新Token
上面的时序图中并未提到Refresh Token过时怎么办。不过很显然,Refresh Token既然已途经期,就该要求用户重新登录了。
十、项目中采用token结算采用基于Token的地位验证想法,在服务端不需要存储用户的登录纪实。大概的流程是这样的:
1前端采用用户名跟密码请愿首次登录
2后服务端收到请愿,去验证用户名与密码是否正确
3验证胜利后,服务端会依据用户、用户名、定义好的秘钥、过时时间生成一个Token,再把这个Token发送给前端
4前端收到 返回的Token,把它存储起来,比如放在Cookie里或者Local Storage里
5前端每次路由跳转,判断localStroage有无token,没有则跳转到登录页。有则请愿获取用户信息,变更登录状态;
6前端每次向服务端请愿资源的时候需要在请愿头里携带服务端签发的Token
7服务端收到请愿,然后去验证前端请愿里面带着的Token。没有或者token过时,返回401。假如验证胜利,就向前端返回请愿的数据。
8前端得到401状态码,重定向到登录页面。
一、CookieCookie的任务原理cookie指的就是在阅读器里面存储的一种数据,仅仅是阅读器实现的一种数据存储性能。cookie的保留时间,可以自己在程序中设置。假如没有设置保留时间,应该是一关闭阅读器,cookie就自动消散。
Cookie实际上是一小段的文本信息。客户端请愿服务器,假如服务器需要纪实该用户状态,就采用response向客户端阅读器颁发一个Cookie。客户端阅读器会把Cookie保留起来。当阅读器再请愿该网站时,阅读器把请愿的网址连同该Cookie一同提交给服务器。服务器查验该Cookie,以此来辨识用户状态。服务器还可以依据需要改动Cookie的内容。
留心:Cookie性能需要阅读器的支持。假如阅读器不支持Cookie(如大部门手机中的阅读器)或者把Cookie禁用了,Cookie性能就会失效。差异的阅读器使用差异的方式保留Cookie。IE阅读器会以文本文件格式保留,一个文本文件保留一个Cookie。
Cookie的不可跨域名性Cookie具有不可跨域名性。依据Cookie规范,阅读器拜访Google只会携带Google的Cookie,而不会携带Bau的Cookie。阅读器判断一个网站是否能操纵另一个网站Cookie的根据是域名。
二、SessionSession是另一种纪实客户状态的机制,差异的是Cookie保留在客户端阅读器中,而Session保留在服务器上。客户端阅读器拜访服务器的时候,服务器把客户端信息以某种格式纪实在服务器上。这就是Session。客户端阅读器再次拜访时只需要从该Session中查找该客户的状态就可以了。
假如说Cookie机制是通过查验客户身上的“通行证”来确认客户地位的话,那么Session机制就是通过查验服务器上的“客户明细表”来确定客户地位。
session也是相似的道理,服务器要知道当前发请愿给自己的是谁。为了做这种分辨,服务器就要给每个客户端分配差异的“地位标识”,然后客户端每次向服务器发请愿的时候,都带上这个“地位标识”,服务器就知道这个请愿来自于谁了。对于阅读器客户端,大家都默认使用cookie的方式,保留这个“地位标识”。
服务器采用session把用户的信息临时保留在了服务器上,用户离去网站后session会被烧毁。这种用户信息存储方式相对cookie来说更安。
可是session有一个不足:假如eb服务器做了负载均衡,那么下一个操纵请愿到了另一台服务器的时候session会丢失。
提示:Session的采用比Cookie便捷,但是过多的Session存储在服务器内存中,会对服务器造成包袱。
三、Cookie与Session的区别和接洽cookie数据寄存在客户的阅读器上,session数据放在服务器上;
cookie不是很安全,别人可以解析寄存在本地的COOKIE并进行COOKIE诱骗,斟酌到安全应当采用session;
session会在一定时间内保留在服务器上。当拜访增多,会对照占用你服务器的功能。斟酌到减轻服务器功能方面,应当采用COOKIE;
单个cookie在客户端的限制是3K,就是说一个站点在客户端寄存的COOKIE不能过份3K;
Cookie和Session的方案固然差别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依靠关系的,上面我讲到服务端执行session机制时候会生成session的值,这个值会发送给客户端,客户端每次请愿都会把这个值放到请愿的头部发送给服务端,而这个值在客户端会保留下来,保留的容器就是cookie,因此当我们彻底禁掉阅读器的cookie的时候,服务端的session也会不能正常采用。
四、基于token的认证方式在大多数采用Web API的互联网公司中,tokens是多用户下处置认证的最佳方式。
以下几点特征会让你在程序中采用基于Token的地位验证
1无状态、可开拓
2支持移动器材
3跨程序调用
4安全
五、Token的来源在介绍基于Token的地位验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。
基于服务器的验证我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请愿,从而识别客户端的地位。
在这之前,程序都是通过在服务端存储的登录信息来识别请愿的。这种方式一般都是通过存储Session来完成。
基于服务器验证方式暴露的一些疑问1Seesion:每次认证用户发起请愿时,服务器需要去创造一个纪实来存储信息。当越来越多的用户发请愿时,内存的开销也会不断增加。
2可开拓性:在服务端的内存中采用Seesion存储登录信息,陪伴而来的是可开拓性疑问。
3CORS(跨域资源共享):当我们需要让数据跨多台移动器材上采用时,跨域资源的共享会是一个让人头疼的疑问。在采用Ajax抓取另一个域的资源,就可以会显露制止请愿的场合。
4CSRF(跨站请愿仿造):用户在拜访银行网站时,他们很容易受到跨站请愿仿造的攻击,并且能够被应用其拜访其他的网站。
在这些疑问中,可开拓行是最突出的。因此我们有必须去寻求一种更有行之有效的想法。
六、基于Token的验证原理基于Token的地位验证是无状态的,我们不将用户信息存在服务器中。这种概念解决了在服务端存储信息时的很多疑问。NoSession意味着你的程序可以依据需要去增减机器,而不用去担心用户是否登录。
七、基于Token的地位验证的过程如下用户通过用户名和密码发送请愿。
服务器端程序验证。
3服务器端程序返回一个带签名的token给客户端。
4客户端储存token,并且每次拜访API都携带Token到服务器端的。
5服务端验证token,校验胜利则返回请愿数据,校验失败则返回过错码。
八、Tokens的优势无状态、可开拓在客户端存储的Tokens是无状态的,并且能够被开拓。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。tokens自己hold住了用户的验证信息。
安全性请愿中发送token而不再是发送cookie能够防范CSRF(跨站请愿仿造)。即使在客户端采用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操纵。
token是有时效的,一段时间之后用户需要重新验证。
可开拓性Tokens能够创造与其它程序共享权限的程序。
多平台跨域我们提前先来谈论一下CORS(跨域资源共享),对利用程序和服务进行开拓的时候,需要参与各种各种的器材和利用程序。
九、需要设置有效期吗?对于这个疑问,我们不妨先看两个范例。一个范例是登录密码,一般要求定期变更密码,以防范泄漏,所以密码是有有效期的;另一个范例是安全证书。SSL安全证书都有有效期,目标是为了解决吊销的疑问。所以无论是从安全的角度斟酌,还是从吊销的角度斟酌,Token都需要设有效期。
那么有效期多长适合呢?
只能说,依据系统的安全需要,尽可能的短,但也不能短得离谱
然后新疑问发生了,假如用户在正常操纵的过程中,Token过时失效了,要求用户重新登录……用户体会岂不是很糟糕?
一种方案,采用Refresh Token,它可以避免频繁的读写操纵。这种方案中,服务端不需要刷新Token的过时时间,一旦Token过时,就反馈给前端,前端采用Refresh Token申请一个全新Token继续采用。这种方案中,服务端只需要在客户端请愿更新Token的时候对Refresh Token的有效性进行一次查验,大大减少了更新有效期的操纵,也就避免了频繁读写。当然Refresh Token也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。
时序图表示采用Token和Refresh Token的时序图如下:1)登录
2)业务请愿
3)Token过时,刷新Token
上面的时序图中并未提到Refresh Token过时怎么办。不过很显然,Refresh Token既然已途经期,就该要求用户重新登录了。
十、项目中采用token结算采用基于Token的地位验证想法,在服务端不需要存储用户的登录纪实。大概的流程是这样的:
1前端采用用户名跟密码请愿首次登录
2后服务端收到请愿,去验证用户名与密码是否正确
3验证胜利后,服务端会依据用户、用户名、定义好的秘钥、过时时间生成一个Token,再把这个Token发送给前端
4前端收到 返回的Token,把它存储起来,比如放在Cookie里或者Local Storage里
5前端每次路由跳转,判断localStroage有无token,没有则跳转到登录页。有则请愿获取用户信息,变更登录状态;
6前端每次向服务端请愿资源的时候需要在请愿头里携带服务端签发的Token
7服务端收到请愿,然后去验证前端请愿里面带着的Token。没有或者token过时,返回401。假如验证胜利,就向前端返回请愿的数据。
8前端得到401状态码,重定向到登录页面。
Cookie的任务原理
Cookie的不可跨域名性
cookie数据寄存在客户的阅读器上,session数据放在服务器上;
cookie不是很安全,别人可以解析寄存在本地的COOKIE并进行COOKIE诱骗,斟酌到安全应当采用session;
session会在一定时间内保留在服务器上。当拜访增多,会对照占用你服务器的功能。斟酌到减轻服务器功能方面,应当采用COOKIE;
单个cookie在客户端的限制是3K,就是说一个站点在客户端寄存的COOKIE不能过份3K;
基于服务器的验证
基于服务器验证方式暴露的一些疑问
用户通过用户名和密码发送请愿。
服务器端程序验证。
3服务器端程序返回一个带签名的token给客户端。
4客户端储存token,并且每次拜访API都携带Token到服务器端的。
5服务端验证token,校验胜利则返回请愿数据,校验失败则返回过错码。
无状态、可开拓
安全性
可开拓性
多平台跨域
然后新疑问发生了,假如用户在正常操纵的过程中,Token过时失效了,要求用户重新登录……用户体会岂不是很糟糕?
时序图表示
采用Token和Refresh Token的时序图如下:
1)登录
2)业务请愿
3)Token过时,刷新Token
上面的时序图中并未提到Refresh Token过时怎么办。不过很显然,Refresh Token既然已途经期,就该要求用户重新登录了。
十、项目中采用token结算
采用基于Token的地位验证想法,在服务端不需要存储用户的登录纪实。大概的流程是这样的:
1前端采用用户名跟密码请愿首次登录
2后服务端收到请愿,去验证用户名与密码是否正确
3验证胜利后,服务端会依据用户、用户名、定义好的秘钥、过时时间生成一个Token,再把这个Token发送给前端
4前端收到 返回的Token,把它存储起来,比如放在Cookie里或者Local Storage里
5前端每次路由跳转,判断localStroage有无token,没有则跳转到登录页。有则请愿获取用户信息,变更登录状态;
6前端每次向服务端请愿资源的时候需要在请愿头里携带服务端签发的Token
7服务端收到请愿,然后去验证前端请愿里面带着的Token。没有或者token过时,返回401。假如验证胜利,就向前端返回请愿的数据。
8前端得到401状态码,重定向到登录页面。
一种方案,采用Refresh Token,它可以避免频繁的读写操纵。这种方案中,服务端不需要刷新Token的过时时间,一旦Token过时,就反馈给前端,前端采用Refresh Token申请一个全新Token继续采用。这种方案中,服务端只需要在客户端请愿更新Token的时候对Refresh Token的有效性进行一次查验,大大减少了更新有效期的操纵,也就避免了频繁读写。当然Refresh Token也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。
我们提前先来谈论一下CORS(跨域资源共享),对利用程序和服务进行开拓的时候,需要参与各种各种的器材和利用程序。
九、需要设置有效期吗?
对于这个疑问,我们不妨先看两个范例。一个范例是登录密码,一般要求定期变更密码,以防范泄漏,所以密码是有有效期的;另一个范例是安全证书。SSL安全证书都有有效期,目标是为了解决吊销的疑问。所以无论是从安全的角度斟酌,还是从吊销的角度斟酌,Token都需要设有效期。
那么有效期多长适合呢?
只能说,依据系统的安全需要,尽可能的短,但也不能短得离谱
Tokens能够创造与其它程序共享权限的程序。
请愿中发送token而不再是发送cookie能够防范CSRF(跨站请愿仿造)。即使在客户端采用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操纵。
token是有时效的,一段时间之后用户需要重新验证。
在客户端存储的Tokens是无状态的,并且能够被开拓。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。tokens自己hold住了用户的验证信息。
八、Tokens的优势
1Seesion:每次认证用户发起请愿时,服务器需要去创造一个纪实来存储信息。当越来越多的用户发请愿时,内存的开销也会不断增加。
2可开拓性:在服务端的内存中采用Seesion存储登录信息,陪伴而来的是可开拓性疑问。
3CORS(跨域资源共享):当我们需要让数据跨多台移动器材上采用时,跨域资源的共享会是一个让人头疼的疑问。在采用Ajax抓取另一个域的资源,就可以会显露制止请愿的场合。
4CSRF(跨站请愿仿造):用户在拜访银行网站时,他们很容易受到跨站请愿仿造的攻击,并且能够被应用其拜访其他的网站。
在这些疑问中,可开拓行是最突出的。因此我们有必须去寻求一种更有行之有效的想法。
六、基于Token的验证原理
基于Token的地位验证是无状态的,我们不将用户信息存在服务器中。这种概念解决了在服务端存储信息时的很多疑问。NoSession意味着你的程序可以依据需要去增减机器,而不用去担心用户是否登录。
七、基于Token的地位验证的过程如下
我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请愿,从而识别客户端的地位。
在这之前,程序都是通过在服务端存储的登录信息来识别请愿的。这种方式一般都是通过存储Session来完成。
Cookie和Session的方案固然差别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依靠关系的,上面我讲到服务端执行session机制时候会生成session的值,这个值会发送给客户端,客户端每次请愿都会把这个值放到请愿的头部发送给服务端,而这个值在客户端会保留下来,保留的容器就是cookie,因此当我们彻底禁掉阅读器的cookie的时候,服务端的session也会不能正常采用。
四、基于token的认证方式
在大多数采用Web API的互联网公司中,tokens是多用户下处置认证的最佳方式。
以下几点特征会让你在程序中采用基于Token的地位验证
1无状态、可开拓
2支持移动器材
3跨程序调用
4安全
五、Token的来源
在介绍基于Token的地位验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。
Cookie具有不可跨域名性。依据Cookie规范,阅读器拜访Google只会携带Google的Cookie,而不会携带Bau的Cookie。阅读器判断一个网站是否能操纵另一个网站Cookie的根据是域名。
二、Session
Session是另一种纪实客户状态的机制,差异的是Cookie保留在客户端阅读器中,而Session保留在服务器上。客户端阅读器拜访服务器的时候,服务器把客户端信息以某种格式纪实在服务器上。这就是Session。客户端阅读器再次拜访时只需要从该Session中查找该客户的状态就可以了。
假如说Cookie机制是通过查验客户身上的“通行证”来确认客户地位的话,那么Session机制就是通过查验服务器上的“客户明细表”来确定客户地位。
session也是相似的道理,服务器要知道当前发请愿给自己的是谁。为了做这种分辨,服务器就要给每个客户端分配差异的“地位标识”,然后客户端每次向服务器发请愿的时候,都带上这个“地位标识”,服务器就知道这个请愿来自于谁了。对于阅读器客户端,大家都默认使用cookie的方式,保留这个“地位标识”。
服务器采用session把用户的信息临时保留在了服务器上,用户离去网站后session会被烧毁。这种用户信息存储方式相对cookie来说更安。
可是session有一个不足:假如eb服务器做了负载均衡,那么下一个操纵请愿到了另一台服务器的时候session会丢失。
提示:Session的采用比Cookie便捷,但是过多的Session存储在服务器内存中,会对服务器造成包袱。
三、Cookie与Session的区别和接洽
cookie指的就是在阅读器里面存储的一种数据,仅仅是阅读器实现的一种数据存储性能。cookie的保留时间,可以自己在程序中设置。假如没有设置保留时间,应该是一关闭阅读器,cookie就自动消散。
Cookie实际上是一小段的文本信息。客户端请愿服务器,假如服务器需要纪实该用户状态,就采用response向客户端阅读器颁发一个Cookie。客户端阅读器会把Cookie保留起来。当阅读器再请愿该网站时,阅读器把请愿的网址连同该Cookie一同提交给服务器。服务器查验该Cookie,以此来辨识用户状态。服务器还可以依据需要改动Cookie的内容。
留心:Cookie性能需要阅读器的支持。假如阅读器不支持Cookie(如大部门手机中的阅读器)或者把Cookie禁用了,Cookie性能就会失效。差异的阅读器使用差异的方式保留Cookie。IE阅读器会以文本文件格式保留,一个文本文件保留一个Cookie。