鏈接：shotCathttps://juejin.im/post/5c6e6063f265da2da53ec8f3

什么是Token？

Token是用戶身份的驗(yàn)證方式，通常叫它：令牌。當(dāng)用戶第一次登錄后，服務(wù)器生成一個(gè)Token并將此Token返回給客戶端，以后客戶端只需帶上這個(gè)Token前來請(qǐng)求數(shù)據(jù)即可，無需再次帶上用戶名和密碼。

Token由哪幾部分組成？

uid(用戶唯一的身份標(biāo)識(shí))、time(當(dāng)前時(shí)間的時(shí)間戳)、sign(簽名，由token的前幾位+鹽以哈希算法壓縮成一定長(zhǎng)的十六進(jìn)制字符串，可以防止惡意第三方拼接Token請(qǐng)求服務(wù)器)。還可以把不變的參數(shù)也放進(jìn)Token，避免多次查庫(kù)。

Token就象一個(gè)護(hù)照。第一次需要在前臺(tái)驗(yàn)證你的身份（通過你的用戶名和密碼），如果你成功驗(yàn)證了自己，你就可以取得這個(gè)通行證。當(dāng)你走進(jìn)大樓的時(shí)候（試圖從調(diào)用API獲取資源），你會(huì)被要求驗(yàn)證你的護(hù)照，而不是在前臺(tái)重新驗(yàn)證。

驗(yàn)證流程

大概的流程是這樣的：

1, 客戶端使用用戶名和密碼請(qǐng)求登錄；

2, 服務(wù)端收到請(qǐng)求，去驗(yàn)證用戶名與密碼；

3, 驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè) Token，再把這個(gè) Token 發(fā)送給客戶端；

4, 客戶端收到 Token 以后可以把它存儲(chǔ)起來，比如放在 Cookie 里或者 Local Storage 里；

5, 客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 Token；

6, 服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著的 Token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求的數(shù)據(jù)；

總的來說就是客戶端在首次登陸以后，服務(wù)端再次接收http請(qǐng)求的時(shí)候，就只認(rèn)token了，請(qǐng)求只要每次把token帶上就行了，服務(wù)器端會(huì)攔截所有的請(qǐng)求，然后校驗(yàn)token的合法性，合法就放行，不合法就返回401（鑒權(quán)失敗）。

優(yōu)點(diǎn)

1.Token 完全由應(yīng)用管理，所以它可以避開同源策略. (Cookie是不允許垮域訪問的,token不存在)

2.Token 可以避免 CSRF 攻擊(也是因?yàn)椴恍枰猚ookie了)

3.Token 可以是無狀態(tài)的，可以在多個(gè)服務(wù)間共享

4.Token 支持手機(jī)端訪問(Cookie不支持手機(jī)端訪問)

服務(wù)器只需要對(duì)瀏覽器傳來的Token值進(jìn)行解密，解密完成后進(jìn)行用戶數(shù)據(jù)的查詢，如果查詢成功，則通過認(rèn)證.所以，即時(shí)有了多臺(tái)服務(wù)器，服務(wù)器也只是做了Token的解密和用戶數(shù)據(jù)的查詢，它不需要在服務(wù)端去保留用戶的認(rèn)證信息或者會(huì)話信息，這就意味著基于token認(rèn)證機(jī)制的應(yīng)用不需要去考慮用戶在哪一臺(tái)服務(wù)器登錄了，這就為應(yīng)用的擴(kuò)展提供了便利，解決了session擴(kuò)展性的弊端。

缺點(diǎn)

1.占帶寬: 正常情況下token要比 session_id更大，需要消耗更多流量，擠占更多帶寬.(不過幾乎可以忽略)

2.性能問題: 相比于session-cookie來說，token需要服務(wù)端花費(fèi)更多的時(shí)間和性能來對(duì)token進(jìn)行解密驗(yàn)證.其實(shí)Token相比于session-cookie來說就是一個(gè)"時(shí)間換空間"的方案.