目录
Token 认证流程Token 认证优点JWT 结构JWT 基本使用实战:使用 JWT 登录认证附:为什么使用jwt而不使用session总结
Token 认证流程
作为目前最流行的跨域认证解决方案,JWT(JSON Web Token) 深受开发者的喜爱,主要流程如下:客户端发送账号和密码请求登录服务端收到请求,验证账号密码是否通过验证成功后,服务端会生成唯一的 token,并将其返回给客户端客户端接受到 token,将其存储在 cookie 或者 localStroge 中之后每一次客户端向服务端发送请求,都会通过 cookie 或者header 携带该 token服务端验证 token 的有效性,通过才返回响应的数据
Token 认证优点
支持跨域访问:Cookie 是不允许跨域访问的,这一点对 Token 机制是不存在的,前提是传输的用户认证信息通过 HTTP 头传输无状态: Token 机制在服务端不需要存储 session 信息,因为 Token 自身包含了所有登录用户的信息,只需要在客户端的 cookie 或本地介质存储状态信息适用性更广: 只要是支持 http 协议的客户端,就可以使用 token 认证。无需考虑CSRF: 由于不再依赖 cookie,所以采用 token 认证方式不会发生 CSRF,所以也就无需考虑 CSRF 的防御
JWT 结构
一个 JWT 实际上就是一个字符串,它由三部分组成:头部、载荷与签名。中间用点 . 分隔成三个部分。注意 JWT 内部是没有换行的。
头部 / header
header 由两部分组成: token 的类型 JWT 和算法名称:HMAC、SHA256、RSA
{
"alg": "HS256",
"typ": "JWT"
}
载荷 / Payload | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
