1. 為什么要用Token?

HTTP是一個(gè)無(wú)狀態(tài)的協(xié)議，一次請(qǐng)求結(jié)束后，下次在發(fā)送服 務(wù)器就不知道這個(gè)請(qǐng)求是誰(shuí)發(fā)來(lái)的了(同一個(gè)IP不代表同一個(gè)用戶(hù))，在Web應(yīng)用中，用戶(hù)的認(rèn)證和鑒權(quán)又是非常重要的一環(huán)。

在Web應(yīng)用發(fā)展的初期，大部分采用基于Cookie-Session的會(huì)話(huà)管理方式，但是基于Session的方法又存在這很多的問(wèn)題：

• 服務(wù)端需要存儲(chǔ)Session，并且由于Session需要經(jīng)常快速查找，通常存儲(chǔ)在內(nèi)存或內(nèi)存數(shù)據(jù)庫(kù)中，同時(shí)在線(xiàn)用戶(hù)較多時(shí)需要占用大量的服務(wù)器資源。
• 當(dāng)需要擴(kuò)展時(shí)，創(chuàng)建Session的服務(wù)器可能不是驗(yàn)證Session的服務(wù)器，所以還需要將所有Session單獨(dú)存儲(chǔ)并共享。
• 由于客戶(hù)端使用Cookie存儲(chǔ)SessionID,在跨域場(chǎng)景下需要進(jìn)行兼容性處理，同時(shí)這種方式也難以防范CSRF攻擊。

鑒于基于Session的會(huì)話(huà)管理方式存在上述多個(gè)缺點(diǎn)，基于Token的無(wú)狀態(tài)會(huì)話(huà)管理方式誕生了，所謂無(wú)狀態(tài)，就是服務(wù)端可以不再存儲(chǔ)信息，甚至是不再存儲(chǔ)Session。

2.Token是什么？

Token是 服務(wù)端生成的一串字符串,以作客戶(hù)端進(jìn)行請(qǐng)求的一個(gè)令牌,當(dāng)?shù)谝淮蔚卿浐?#xff0c; 服務(wù)器生成-個(gè)Token便將此Token返回給客戶(hù)端后，客戶(hù)端只需帶上這個(gè)Token前來(lái)請(qǐng)求數(shù)據(jù)即可，無(wú)需再次帶上域名和密碼。

token的具體邏輯如下：

• 客戶(hù)端使用用戶(hù)名，密碼進(jìn)行認(rèn)證。
• 服務(wù)端驗(yàn)證用戶(hù)名，密碼正確后生成Token返回給客戶(hù)端。
• 客戶(hù)端保存Token,訪(fǎng)問(wèn)需要認(rèn)證的接口在URL參數(shù)或HTTP Header中加入Token
• 服務(wù)端通過(guò)解碼Token進(jìn)行鑒權(quán)，返回給客戶(hù)端需要的數(shù)據(jù)。

Token的優(yōu)勢(shì)：

服務(wù)端不需要存儲(chǔ)和用戶(hù)鑒權(quán)有關(guān)的信息，鑒權(quán)信息會(huì)被加密到Token中，服務(wù)端只需要讀取Token中包含的鑒權(quán)信息即可。

避免了共享Session導(dǎo)致的不易擴(kuò)展的問(wèn)題。

不需要依賴(lài)Cookie，有效的避免Cookie帶來(lái)的CSRF攻擊問(wèn)題

使用CORS可以快速解決跨域問(wèn)題。

總結(jié)

以上是生活随笔為你收集整理的Token认证模式详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。