一、cookie和seeion鉴权
二、token鉴权
2.1、token是什么?
Token,通常叫做令牌,是一种自定义实现的类似Session/Cookie机制的,用来代替传统Session/Cookie的新兴鉴权方案,当前很多的应用API鉴权就是使用的Token令牌。
Token是服务端生成的一串加密字符串,用户在用户登录成功后生成并返回给客户端,之后客户端的每次请求都会通过GET/POST/Header等方式携带Token,服务端通过验证Token的有效性来完成鉴权。
作处。
2.2、token鉴权的流程
- 客户端用户通过用户和密码进行首次登录
- 服务端接收用户请求,并验证用户名和密码的正确性,登录验证成功后根据自定义规则生成Token信息
- 服务端将生成的Token通过响应返回给客户端
- 客户端将Token信息存储在本地
- 客户端在之后的每次请求中携带Token信息
- 服务端获取请求中的Token,并根据定义的验证机制(解析token)判断Token合法性,验证成功获取用户信息,保持用户状态
- Token存活时间达到设置的有效期后自动失效,此后用户请求时Token验证不通过,需要用户重新登录验证
2.3、token生成规则(服务端决定)
2.4、如何校验token的正确性、及有效时间
2.5、token的替换规则(服务端决定)