Token的身份验证流程大致是这样的:
1、在服务端不存储用户的登录记录时,用户输入账号密码发起登录请求
2、服务端收到请求后,去验证账户和密码,验证正确后,服务端会签发一个Token,发送给用户端
3、用户端收到签发的Token后, 一般放到cookie里存储起来,后面带着Token向服务端发起请求资源
4、服务端接受请求,去验证客户端请求里面的Token,正确后,向客户端返回要请求的数据
Token 验证的标准方法JWT
jwt 表示:json web tokens ;
jwt标准的token 有三个部分,每个部分使用Base64编码后,用点分割,然后拼到一起:
- header (头部):头部信息主要包含;参数的类型,签名的算法如 -md5/sha256
- poyload (负荷):负荷基本就是要存放的信息(因为信息会暴露,不应该在载荷里面加入任何敏感数据)
- sign(签名):签名就是加密后生成的(上一篇文章中python中加密hmac函数记录有介绍到签名(https://www.jianshu.com/p/d114199a7948))
本文参考地址为:(https://wenku.baidu.com/view/1b8eb73ac181e53a580216fc700abb68a882ad56.html)
