來(lái)自：簡(jiǎn)書(shū)，作者：一顆小梪梪

鏈接：https://www.jianshu.com/p/8ef0c5a551d3

在Web應用中，HTTP請求是無(wú)狀態(tài)的。即：用戶(hù)第一次發(fā)起請求，與服務(wù)器建立連接并登錄成功后，為了避免每次打開(kāi)一個(gè)頁(yè)面都需要登錄一下，就出現了cookie，Session。

Cookie

Cookie是客戶(hù)端保存用戶(hù)信息的一種機制，用來(lái)記錄用戶(hù)的一些信息，也是實(shí)現Session的一種方式。Cookie存儲的數據量有限，且都是保存在客戶(hù)端瀏覽器中。不同的瀏覽器有不同的存儲大小，但一般不超過(guò)4KB。因此使用Cookie實(shí)際上只能存儲一小段的文本信息。

例如：登錄網(wǎng)站，今輸入用戶(hù)名密碼登錄了，第二天再打開(kāi)很多情況下就直接打開(kāi)了。這個(gè)時(shí)候用到的一個(gè)機制就是Cookie。

Session

Session是另一種記錄客戶(hù)狀態(tài)的機制，它是在服務(wù)端保存的一個(gè)數據結構（主要存儲的的SessionID和Session內容，同時(shí)也包含了很多自定義的內容如：用戶(hù)基礎信息、權限信息、用戶(hù)機構信息、固定變量等），這個(gè)數據可以保存在集群、數據庫、文件中，用于跟蹤用戶(hù)的狀態(tài)。

客戶(hù)端瀏覽器訪(fǎng)問(wèn)服務(wù)器的時(shí)候，服務(wù)器把客戶(hù)端信息以某種形式記錄在服務(wù)器上。這就是Session。客戶(hù)端瀏覽器再次訪(fǎng)問(wèn)時(shí)只需要從該Session中查找該客戶(hù)的狀態(tài)就可以了。

用戶(hù)第一次登錄后，瀏覽器會(huì )將用戶(hù)信息發(fā)送給服務(wù)器，服務(wù)器會(huì )為該用戶(hù)創(chuàng )建一個(gè)SessionId，并在響應內容（Cookie）中將該SessionId一并返回給瀏覽器，瀏覽器將這些數據保存在本地。當用戶(hù)再次發(fā)送請求時(shí)，瀏覽器會(huì )自動(dòng)的把上次請求存儲的Cookie數據自動(dòng)的攜帶給服務(wù)器。

服務(wù)器接收到請求信息后，會(huì )通過(guò)瀏覽器請求的數據中的SessionId判斷當前是哪個(gè)用戶(hù)，然后根據SessionId在Session庫中獲取用戶(hù)的Session數據返回給瀏覽器。

例如：購物車(chē)，添加了商品之后客戶(hù)端處可以知道添加了哪些商品，而服務(wù)器端如何判別呢，所以也需要存儲一些信息就用到了Session。

如果說(shuō)Cookie機制是通過(guò)檢查客戶(hù)身上的“通行證”來(lái)確定客戶(hù)身份的話(huà)，那么Session機制就是通過(guò)檢查服務(wù)器上的“客戶(hù)明細表”來(lái)確認客戶(hù)身份。Session相當于程序在服務(wù)器上建立的一份客戶(hù)檔案，客戶(hù)來(lái)訪(fǎng)的時(shí)候只需要查詢(xún)客戶(hù)檔案表就可以了。

Session生成后，只要用戶(hù)繼續訪(fǎng)問(wèn)，服務(wù)器就會(huì )更新Session的最后訪(fǎng)問(wèn)時(shí)間，并維護該Session。為防止內存溢出，服務(wù)器會(huì )把長(cháng)時(shí)間內沒(méi)有活躍的Session從內存刪除。這個(gè)時(shí)間就是Session的超時(shí)時(shí)間。如果超過(guò)了超時(shí)時(shí)間沒(méi)訪(fǎng)問(wèn)過(guò)服務(wù)器，Session就自動(dòng)失效了。

Token

HTTP請求都是以無(wú)狀態(tài)的形式對接。即HTTP服務(wù)器不知道本次請求和上一次請求是否有關(guān)聯(lián)。所以就有了Session的引入，即服務(wù)端和客戶(hù)端都保存一段文本，客戶(hù)端每次發(fā)起請求都帶著(zhù)，這樣服務(wù)器就知道客戶(hù)端是否發(fā)起過(guò)請求。

這樣，就導致客戶(hù)端頻繁向服務(wù)端發(fā)出請求數據，服務(wù)端頻繁的去數據庫查詢(xún)用戶(hù)名和密碼并進(jìn)行對比，判斷用戶(hù)名和密碼正確與否。而Session的存儲是需要空間的，頻繁的查詢(xún)數據庫給服務(wù)器造成很大的壓力。

在這種情況下，Token應用而生。

Token是服務(wù)端生成的一串字符串，以作客戶(hù)端進(jìn)行請求的一個(gè)令牌。當客戶(hù)端第一次訪(fǎng)問(wèn)服務(wù)端，服務(wù)端會(huì )根據傳過(guò)來(lái)的唯一標識userId，運用一些算法，并加上密鑰，生成一個(gè)Token，然后通過(guò)BASE64編碼一下之后將這個(gè)Token返回給客戶(hù)端，客戶(hù)端將Token保存起來(lái)（可以通過(guò)數據庫或文件形式保存本地）。下次請求時(shí)，客戶(hù)端只需要帶上Token，服務(wù)器收到請求后，會(huì )用相同的算法和密鑰去驗證Token。

最簡(jiǎn)單的Token組成:uid(用戶(hù)唯一的身份標識)、time(當前時(shí)間的時(shí)間戳)、sign(簽名，由Token的前幾位+鹽以哈希算法壓縮成一定長(cháng)的十六進(jìn)制字符串，可以防止惡意第三方拼接Token請求服務(wù)器)。

使用基于 Token 的身份驗證方法，在服務(wù)端不需要存儲用戶(hù)的登錄記錄。大概的流程是這樣的：

• 客戶(hù)端使用用戶(hù)名跟密碼請求登錄

• 服務(wù)端收到請求，去驗證用戶(hù)名與密碼

• 驗證成功后，服務(wù)端會(huì )簽發(fā)一個(gè) Token，再把這個(gè) Token 發(fā)送給客戶(hù)端

• 客戶(hù)端收到 Token 以后可以把它存儲起來(lái)，比如放在 Cookie 里或者數據庫里

• 客戶(hù)端每次向服務(wù)端請求資源的時(shí)候需要帶著(zhù)服務(wù)端簽發(fā)的 Token

• 服務(wù)端收到請求，然后去驗證客戶(hù)端請求里面帶著(zhù)的 Token，如果驗證成功，就向客戶(hù)端返回請求的數據

APP登錄的時(shí)候發(fā)送加密的用戶(hù)名和密碼到服務(wù)器，服務(wù)器驗證用戶(hù)名和密碼，如果成功，以某種方式比如隨機生成32位的字符串作為T(mén)oken，存儲到服務(wù)器中，并返回Token到APP，以后APP請求時(shí)，凡是需要驗證的地方都要帶上該Token，然后服務(wù)器端驗證Token，成功返回所需要的結果，失敗返回錯誤信息，讓他重新登錄。

對于同一個(gè)APP同一個(gè)手機當前只有一個(gè)Token；手機APP會(huì )存儲一個(gè)當前有效的Token。其中服務(wù)器上Token設置一個(gè)有效期，每次APP請求的時(shí)候都驗證Token和有效期。

下面這個(gè)例子，可以很好的理解：

『給我來(lái)份煎餅（token我是你對面攤賣(mài)烤冷面的，scope賒賬）』『好』
『雞蛋（token我是你對面攤賣(mài)烤冷面的，scope賒賬）』『好』
『再加個(gè)雞蛋（token我是你對面攤賣(mài)烤冷面的，scope賒賬）』『好』

最終得到一份普通煎餅，外加兩個(gè)雞蛋……

如果服務(wù)器重啟或者因為其他理由，服務(wù)器端已保存token丟失。那么用戶(hù)需 要重新登錄和認證。

『給我來(lái)份煎餅（token我是你對面攤賣(mài)烤冷面的）』『那個(gè)……我沒(méi)見(jiàn)過(guò)你』