大家好，我是IT修真院深圳分院第04期学员，一枚正直善良的web程序员。

今天给大家分享一下，修真院官网 js任务中可能会使用到的知识点：

登录之后，在其他页面怎么判断是否已经登录？

1.背景介绍

登录功能，是前端经常要完成的需求之一。但是如何进行登录判断？

2.知识剖析

传统的Cookie-session验证

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象，同时在客户端的浏览器端创建了一个Cookie对象； 通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的，当我们关闭浏览器的时候，cookie会被删除。 但可以通过修改cookie 的expire time使cookie在一定时间内有效。

所以，在其它页面保持登录，可以在登录后往本地cookie中存储一个关键字段（存储用户信息）,如：名字、值、过期时间、路径和域。 在路由变化的时候，或者在页面跳转的时候，检测是该字段值是否正确，不正确则跳转登录页；点击注销可以执行删除。

token的验证

token的意思是“令牌”，是用户身份的验证方式，最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名）， 由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串，可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token，避免多次查库。

3.常见问题

cookie与session的区别

1、cookie数据存放在客户端上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用COOKIE。

4、单个cookie保存的数据不能超过4K。

5、所以个人建议：

将登陆信息等重要信息存放为SESSION

其他信息如果需要保留，可以放在COOKIE中

cookie保存格式和参数说明

//设置Cookie

/*在cookie的名或值中不能使用分号（;）、逗号（,）、等号（=）以及空格。在cookie

的名中做到这点很容易，但要保存的值是不确定的。如何来存储这些值呢？方法是用

encodeURI()函数进行编码，它能将一些特殊符号使用十六进制表示，例如空格将会编码

为“20%”，从而可以存储于cookie值中，而且使用此种方案还可以避免中文乱码的出现。

在获取cookie时可以通过decodeURI()方法对cookie进行解码。

Cookie的保存格式为："name=value; expires=evalue; path=pvalue;"每个属性之间通过：'分号+空格'(; )隔开;

参数值的意思:

name:表示要存入对象的名称，唯一必须设置（通常使用：user@domain格式命名，user为本地用户，domain为所访问网站的域名）。value：表示要存入的值。

expires：该对象的有效时间（可选）（默认为当前浏览器会话有用，关闭浏览器就消失）;

path:指定该Cookie作用范围（可选）(即：在那些网页上可用)；

domain:设置web服务器的Cookie共享域（可选）(如：test*.com)表示域名为test*.com

的服务器共享该Cookie

secure：设置Cookie的传输过程是否加密（可选）（一般为SSH加密）*/

4.解决方案

在前端浏览器里经常使用Cookie-session验证，那么如何进行使用这种验证？

设置cookie

5.编码实战

6.扩展思考

SESSION与TOKEN的区别session和token并不矛盾，作为身份认证 token安全性比session好，因为每个请求都有签名还能防止监听以及重放攻击，而session就必须靠链路层来保障通讯安全了。 如上所说，如果你需要实现有状态的会话，仍然可以增加session来在服务器端保存一些状态。App通常用restful api跟server打交道。Rest是stateless的，也就是app不需要像浏览器那样用cookie来保存session,因此用session/token来标示自己就够了， session/state由api server的逻辑处理。 如果你的后端不是stateless的rest api, 那么你可能需要在app里保存session.可以在app里嵌入webkit,用一个隐藏的browser来管理cookie session.

Session 是一种HTTP存储机制，目的是为无状态的HTTP提供的持久机制。所谓Session认证只是简单的把User信息存储到Session 里，因为SID 的不可预测性，暂且认为是安全的。 这是一种认证手段。而Token，如果指的是Token或类似的机制的话，提供的是认证和授权，认证是针对用户，授权是针对App。其目的是让某App有权利访问某用户的信息。 这里的 Token是唯一的。不可以转移到其它App上，也不可以转到其它用户上。转过来说Session只提供一种简单的认证，即有此 SID，即认为有此User的全部权利。 是需要严格保密的，这个数据应该只保存在站方，不应该共享给其它网站或者第三方App。 所以简单来说，如果你的用户数据可能需要和第三方共享，或者允许第三方调用 API 接口，用Token。如果永远只是自己的网站，自己的 App，用什么就无所谓了。

7.参考文献

参考一：Cookie/Session机制详解

参考二：js创建cookie js设置cookie过期时间

参考三：cookie、session与token

8.更多讨论

1.和服务端seesion对接的数据一定要存储在Cookie里吗？

一般是存储在Cookie里。虽然说浏览器的一个Cookie一般只有4KB,而现代浏览器localstorage和seesionstorge的存储量更大，但是Cookie可以灵活设置过期时间，而这一点localstorage和seesionstorge是做不到的。

2.token通常用在什么地方？

token通常是用在跨平台的项目，有移动端，PC端的项目。因为IOS和安卓对Cookie的处理方法是不同，因此用token就可以方便各平台使用。

3.如何手动取消登陆状态？

1.手动打开浏览器cookie的存放位置，点击清除cookie，那么你的登陆状态就取消了

2.一般社交，购物网站还有退出按钮。它的原理也是去除cookie。

感谢大家观看！

今天的分享就到这里啦，欢迎大家点赞、转发、留言、拍砖!