1. 為什么要用Token?

HTTP是一個無狀態的協議，一次請求結束后，下次在發送服 務器就不知道這個請求是誰發來的了(同一個IP不代表同一個用戶)，在Web應用中，用戶的認證和鑒權又是非常重要的一環。

在Web應用發展的初期，大部分采用基于Cookie-Session的會話管理方式，但是基于Session的方法又存在這很多的問題：

• 服務端需要存儲Session，并且由于Session需要經常快速查找，通常存儲在內存或內存數據庫中，同時在線用戶較多時需要占用大量的服務器資源。
• 當需要擴展時，創建Session的服務器可能不是驗證Session的服務器，所以還需要將所有Session單獨存儲并共享。
• 由于客戶端使用Cookie存儲SessionID,在跨域場景下需要進行兼容性處理，同時這種方式也難以防范CSRF攻擊。

鑒于基于Session的會話管理方式存在上述多個缺點，基于Token的無狀態會話管理方式誕生了，所謂無狀態，就是服務端可以不再存儲信息，甚至是不再存儲Session。

2.Token是什么？

Token是 服務端生成的一串字符串,以作客戶端進行請求的一個令牌,當第一次登錄后， 服務器生成-個Token便將此Token返回給客戶端后，客戶端只需帶上這個Token前來請求數據即可，無需再次帶上域名和密碼。

token的具體邏輯如下：

• 客戶端使用用戶名，密碼進行認證。
• 服務端驗證用戶名，密碼正確后生成Token返回給客戶端。
• 客戶端保存Token,訪問需要認證的接口在URL參數或HTTP Header中加入Token
• 服務端通過解碼Token進行鑒權，返回給客戶端需要的數據。

Token的優勢：

服務端不需要存儲和用戶鑒權有關的信息，鑒權信息會被加密到Token中，服務端只需要讀取Token中包含的鑒權信息即可。

避免了共享Session導致的不易擴展的問題。

不需要依賴Cookie，有效的避免Cookie帶來的CSRF攻擊問題

使用CORS可以快速解決跨域問題。

總結

以上是生活随笔為你收集整理的Token认证模式详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。