一、为什么需要登录？

在现代的 web 应用中，客户端与服务端的交互建立在一系列网络协议上。这些网络协议各有分工，而 HTTP 协议则的作用主要是：规定客户端和服务端的数据传输格式。

1.1 HTTP 协议的特点-无状态

了解了这些，就要说到 HTTP 协议最大的特点：无状态
什么是无状态？
一个 web 应用要想正常运行，需要靠一次次地发 HTTP 请求。请求页面文件，请求静态资源，请求数据。
而在这么多次请求中，每次请求对于服务端来说都是全新的，并不保存任何之前请求的数据。这便是无状态

1.2 无状态产生的问题

我们来设想这样一种情景：你打开了一个购物网站，选择了一本书加入购物车，这时网站提示你需要先登录。当你登录完成(这是一个登陆请求处理)，再次加入购物车时(这是另一个请求处理)，服务端如何得知是谁要加入购物车呢？

二、登录要解决的核心问题是什么？

上面的情景中，就体现了登录机制要解决的核心问题：
如何保持用户的登录状态？
不管是 PC 端项目登录、小程序登录、单点登录，核心都需要先解决保持登录状态的问题，之后才是解决其他不同业务场景产生的问题。

三、目前有哪些解决登录问题的方案？

3.1 session

Session 是偏早期的登录解决方案，它的做法是：

1. 用户填写用户名、密码，点击登录
2. 客户端发起请求，将登录信息传给服务端
3. 服务端存储登录信息，并生成一个 session-id，作为这条登录信息的唯一标识
4. 服务端返回请求时，以 set-cookie 方式将 session-id 种在客户端
5. 在之后的请求中，只要 domain 和 path 符合，客户端都会自动带上 cookie
6. 服务端接收到请求，通过 cookie 中的 session-id 找到对应的登录信息

核心：服务端需要维护一个 session 表，来存储 session-id 与登录信息的映射关系，本质上是把用户状态信息维护在服务端。

3.2 token

1. 用户填写用户名、密码，点击登录
2. 客户端发起请求，将登录信息传给服务端
3. 服务端存储登录信息，通过加密方式生成一段 token，传给客户端（注意：服务端并不会存储这个 token）
4. 在之后的请求中，客户端自动带上 token
5. 服务端接收到请求，解析 token 拿到登录信息并进行验证

核心：服务端不需要额外维护状态，本质上是把用户状态信息维护在客户端。节省了存储空间，但牺牲了计算时间。