Notes:该系列文章是看Azure的Youtube官网的系列视频[Azure AD Authentication Fundamentals]之后的学习笔记
本节来讲一下为什么需要Token,Token是什么,以及什么是Claims
1.Token的诞生
Token诞生的诞生是为了解决CSRF问题的(对CSRF感兴趣的可以看这篇博客)。与cookie不同的是,token是不会自动被带上的,这个特性就能预防这种攻击。
两者的另一个不同点是,cookie一般存储的是sessionID,可以理解成一个身份证号,服务器会根据这个sessionID找到存储在服务器对应的session,session包含着用户身份的信息,相当于看到了身份证,而token存的往往不是一个sessionID,而是包含更多的身份信息,相当于身份证本身,每次请求就直接出示身份证了, 因此token的信息一般都会加密的。
Token的组成
token一般会携带用户的身份Id,以及过期的时间,加密算法,签名,这是最基本的。最常见的token格式是JWT(Json Web Token),JWT是json格式的,因此也是跨平台的,JWT的组成是:header+payload+