token简析

背景：

token是客户端频繁向服务端请求数据，服务端频繁去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，这样的话服务器的压力，数据库的压力是比较大的，于是token便应运而生。

定义：

token是服务端生成的一串字符串，作为客户端进行请求的一个令牌。当第一次登录后，服务器生成一个token便将此token返回给客户端，以后客户端只需带上这个token来请求数据即可，无需再次带上用户名和密码。

意义：

减轻了服务器的压力，减少频繁的查询数据库，使服务器更加健壮

使用：

1、用设备号/设备mac地址作为Token（推荐）

​ 客户端：获取客户端登录时的设备号/MAC地址，并将其作为参数传递到服务端

​ 服务端：服务端用一个变量接受服务端传递来的参数，同时将其作为token保存在数据库中。并将该token设置到session中。客户端每次请求时都要统一拦截，将客户端的token和服务器端session中的token进行对比。相同则放行，否则拒绝。

​ 缺点：是客户端需要带设备号/mac地址作为参数传递，而且服务器端还需要保存；

​ 优点：是客户端不需重新登录，只要登录一次以后一直可以使用，至于超时的问题是有服务器这边来处理，如何处理？若服务器的Token超时后，服务器只需将客户端传递的Token向数据库中查询，同时并赋值给变量Token，如此，Token的超时又重新计时

2、用session值作为Token

​ 客户端：客户端只需携带用户名和密码登陆即可。

​ 客户端：客户端接收到用户名和密码后并判断，如果正确了就将本地获取sessionID作为Token返回给客户端，客户端以后只需带上请求数据即可。

​ 缺点：就是当session过期后，客户端必须重新登录才能进行访问数据。

​ 优点：方便，不用存储数据。

出现的问题及解决方案

​ token的第一种方法隐藏了一个网络不好或者并发请求时会导致重复提交数据的问题

​ 解决方案：将session和token套用

​ session是一个在单个操作人员整个操作过程中，与服务器保持通信的唯一识别信息。在同一操作人员的多次请求中，session始终保证是同一个对象，而不是多个对象，因此可以对其加锁。当同一操作人员多个请求进入时，可以通过session限制让其只能单向通行。

​ 通过在session中加入token，来验证同一个操作人员是否进行了并发重复的请求。在后一个请求到来时，使用session中的token验证请求中的token是否一致，当不一致时，被认为是重复提交，将不允许通过。