為什么要使用token？

對(duì)于網(wǎng)站建設(shè)公司來(lái)說(shuō)，因?yàn)镠TTP協(xié)議是開(kāi)放的，可以任人調(diào)用。所以，如果接口不希望被隨意調(diào)用，就需要做訪問(wèn)權(quán)限的控制，認(rèn)證是好的用戶，才允許調(diào)用API。

傳統(tǒng)身份驗(yàn)證的方法

HTTP 是一種沒(méi)有狀態(tài)的協(xié)議，也就是它并不知道是誰(shuí)是訪問(wèn)應(yīng)用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過(guò)了身份驗(yàn)證，不過(guò)下回這個(gè)客戶端再發(fā)送請(qǐng)求時(shí)候，還得再驗(yàn)證一下。

解決的方法就是，當(dāng)用戶請(qǐng)求登錄的時(shí)候，如果沒(méi)有問(wèn)題，我們?cè)诜?wù)端生成一條記錄，這個(gè)記錄里可以說(shuō)明一下登錄的用戶是誰(shuí)，然后把這條記錄的 ID 號(hào)發(fā)送給客戶端，客戶端收到以后把這個(gè) ID 號(hào)存儲(chǔ)在 Cookie 里，下次這個(gè)用戶再向服務(wù)端發(fā)送請(qǐng)求的時(shí)候，可以帶著這個(gè) Cookie ，這樣服務(wù)端會(huì)驗(yàn)證一個(gè)這個(gè) Cookie 里的信息，## 標(biāo)題看看能不能在服務(wù)端這里找到對(duì)應(yīng)的記錄，如果可以，說(shuō)明用戶已經(jīng)通過(guò)了身份驗(yàn)證，就把用戶請(qǐng)求的數(shù)據(jù)返回給客戶端。

上面說(shuō)的就是 Session，我們需要在服務(wù)端存儲(chǔ)為登錄的用戶生成的 Session ，這些 Session 可能會(huì)存儲(chǔ)在內(nèi)存，磁盤(pán)，或者數(shù)據(jù)庫(kù)里。我們可能需要在服務(wù)端定期的去清理過(guò)期的 Session 。

基于 Token 的身份驗(yàn)證方法

使用基于 Token 的身份驗(yàn)證方法，在服務(wù)端不需要存儲(chǔ)用戶的登錄記錄。大概的流程是這樣的：

1、客戶端使用用戶名跟密碼請(qǐng)求登錄

2、服務(wù)端收到請(qǐng)求，去驗(yàn)證用戶名與密碼

3、驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè) Token，再把這個(gè) Token 發(fā)送給客戶端

4、客戶端收到 Token 以后可以把它存儲(chǔ)起來(lái)，比如放在 Cookie 里或者 Local Storage 里

5、客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 Token

6、服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著的 Token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求的數(shù)據(jù)

JWT

對(duì)于網(wǎng)站建設(shè)公司來(lái)講，實(shí)施 Token 驗(yàn)證的方法挺多的，還有一些標(biāo)準(zhǔn)方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標(biāo)準(zhǔn)的 Token 有三個(gè)部分：

header

payload

signature

中間用點(diǎn)分隔開(kāi)，并且都會(huì)使用 Base64 編碼，所以真正的 Token 看起來(lái)像這樣：

header 部分

主要是兩部分內(nèi)容，一個(gè)是 Token 的類型，另一個(gè)是使用的算法，比如下面類型就是 JWT，使用的算法是 HS256。

上面的內(nèi)容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具體內(nèi)容，這些內(nèi)容里面有一些是標(biāo)準(zhǔn)字段，你也可以添加其它需要的內(nèi)容。下面是標(biāo)準(zhǔn)字段：

比如下面這個(gè) Payload ，用到了 iss 發(fā)行人，還有 exp 過(guò)期時(shí)間。另外還有兩個(gè)自定義的字段，一個(gè)是 name ，還有一個(gè)是 admin

使用 Base64 編碼以后就變成了這個(gè)樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ，這部分內(nèi)容有三個(gè)部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時(shí)候要放進(jìn)去一個(gè) Secret ，這個(gè)相當(dāng)于是一個(gè)密碼，這個(gè)密碼秘密地存儲(chǔ)在服務(wù)端。

處理完成以后看起來(lái)像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后這個(gè)在服務(wù)端生成并且要發(fā)送給客戶端的 Token 看起來(lái)像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個(gè) Token 以后把它存儲(chǔ)下來(lái)，下回向服務(wù)端發(fā)送請(qǐng)求的時(shí)候就帶著這個(gè) Token 。服務(wù)端收到這個(gè) Token ，然后進(jìn)行驗(yàn)證，通過(guò)以后就會(huì)返回給客戶端想要的資源。