我在这篇文章中读到了关于 Sessions 的内容 https://auth0.com/docs/users/sessions
它说当用户登录时,会创建两种类型的会话
创建了两个会话:
本地会话(storezero.io):允许应用程序知道用户是否已经过身份验证。
授权服务器 (storezero.auth0.com) 上的会话:允许授权服务器了解用户是否已通过身份验证,并可选择跟踪其他信息。例如,授权服务器可以跟踪用户是否已使用 MFA 进行身份验证。如果是,则下次用户到达授权服务器时,他们无需看到登录页面或再次被提示使用 MFA。
它说 "the next time the user arrives at the Authorization Server, they won't need to see a login page or be prompted to use MFA again."
这句话到底是什么意思?为什么他们看不到登录页面?
会话在授权服务器上起什么作用?为什么将会话存储在授权服务器中很重要?如果我们使用 JWT 令牌进行身份验证,我认为将会话存储在服务器上没有任何用处。(因为 JWT 令牌可以由资源服务器验证,不需要与授权服务器通信)
答案1
从您提到的链接阅读文档在此处输入链接描述
当用户连接时,会话会临时存储所有这些内容。
默认情况下,当用户离开网站或关闭浏览器时,其会话就会结束。为了避免用户每次返回时都必须登录,应用程序可以通过将会话信息存储在 Cookie 中来延长会话。
- 会话是指用户的浏览活动。当用户关闭浏览器时,会话也随之结束;
- 如果用户在同一台机器上打开第二个浏览器,则会启动一个新的会话。然后会要求用户登录;
- 如果用户关闭浏览器而没有退出,当访问相同的 URL 时,如果 cookies 和会话没有过期(Gmail 就是这样工作的),他们将不会被重定向到登录页面。