https://ninghao.net/blog/2834
传统认证身份认证的方法:
1.请求登录时,如果没有问题就在服务端保留一条记录,这条记录可以说明登录的用户是谁。然后把这条记录的ID发送给客户端。这个记录也叫Session。
2.用户收到ID后把它存储到Cookie里边,下次客户端再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一下这个Cookie里边的信息,看看能不能在服务端里边找到对应的记录。如果可以,说明用户已经通过了验证。就把请求的数据发送给客户端。
3.服务端保存的这条记录也叫session,我们需要在服务端存储为用户生成的Session,这些Session可能存储在内存,磁盘里边。我们可能需要定期的清理过期的Session。
基于Token的身份认证方法:
使用基于Token的身份认证方法,在服务器端不需要存储用户的登录记录。流程如下:
1.客户端使用用户名和密码登录。
2.服务端收到请求去验证用户名和密码
3.验证成功后服务器端会签发一个token,再把这个token发送给客户端。
4.客户端收到token后可以把它存起来
5.用户每次发起请求都需带着服务端签发的token。
6.服务端收到请求后去验证客户端里边带着的token,如果验证成功,就返回需要的数据。
