Token&Cookies&Session

---

title: Token&Cookies&Session
date: 2018-04-19 19:52:01
tags: [vue,token,cookies,session,login]
categories: 前端技术
---
最近遇到先后端验证登录的问题，学习并记录如何验证。如今许多的大型网站已经采用Token的方式进行验证，简化了验证流程。百度百科称token是一种令牌机制，实际上就是一串加密的字符串，经过解密来验证是否登录。

传统验证登录的方法

HTTP 是一种没有状态的协议，也就是它并不知道是谁是访问应用。这里咱们把用户当作是客户端，客户端使用用户名还有密码经过了身份验证，不过下回这个客户端再发送请求时候，还得再验证一下。

解决的方法就是，当用户请求登陆的时候，若是没有问题，咱们在服务端生成一条记录，这个记录里能够说明一下登陆的用户是谁，而后把这条记录的 ID 号发送给客户端，客户端收到之后把这个 ID 号存储在 Cookie 里，下次这个用户再向服务端发送请求的时候，能够带着这个 Cookie ，这样服务端会验证一个这个 Cookie 里的信息，看看能不能在服务端这里找到对应的记录，若是能够，说明用户已经经过了身份验证，就把用户请求的数据返回给客户端。

上面说的就是 Session，咱们须要在服务端存储为登陆的用户生成的 Session ，这些 Session 可能会存储在内存，磁盘，或者数据库里。咱们可能须要在服务端按期的去清理过时的 Session 。

基于Token的验证方法

采用Token的验证方式，须要将Token字符串在本地记录，通常使用LocalStorage或者SessionStorage在本地储存起来。具体流程以下：

1. 客户端使用用户名跟密码请求登陆
2. 服务端收到请求，去验证用户名与密码
3. 验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
4. 客户端收到 Token 之后能够把它存储起来，好比放在 Cookie 里或者 Local Storage 里
5. 客户端每次向服务端请求资源的时候须要带着服务端签发的 Token
6. 服务端收到请求，而后去验证客户端请求里面带着的 Token，若是验证成功，就向客户端返回请求的数据

JWT

实现token的方式能够有不少，JWT是其中的一种方式，其实本质上只是一个字符串，不管什么字符串均可以，但须要保证加密的可靠性，以及相关的标准，这样比较符合开发逻辑。这种验证方式的Token包含三个部分，具体以下：

1. header
   
2. payload
   
3. signature

三部分使用“，”隔开，而且使用base64编码。实例以下：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是两部份内容，一个是 Token 的类型，另外一个是使用的算法，好比下面类型就是 JWT，使用的算法是 HS256。
{ "typ": "JWT", "alg": "HS256" }
上述字符经过Base64编码后获得eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具体内容，这些内容里面有一些是标准字段，你也能够添加其它须要的内容。下面是标准字段：

• iss：Issuer，发行者
• sub：Subject，主题
• aud：Audience，观众
• exp：Expiration time，过时时间
• nbf：Not before
• iat：Issued at，发行时间
• jti：JWT ID

例如：

{ "iss": "ninghao.net", "exp": "1438955445", "name": "wanghao", "admin": true }

Signature

JWT 的最后一部分是 Signature ，这部份内容有三个部分，先是用 Base64 编码的 header.payload ，再用加密算法加密一下，加密的时候要放进去一个 Secret ，这个至关因而一个密码，这个密码秘密地存储在服务端。

• header
• payload

• secret

  var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
  HMACSHA256(encodedString, 'secret');

处理完成之后看起来像这样：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成而且要发送给客户端的 Token 看起来像这样：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个 Token 之后把它存储下来，下回向服务端发送请求的时候就带着这个 Token 。服务端收到这个 Token ，而后进行验证，经过之后就会返回给客户端想要的资源。

Token使用中须要注意的几点

1. Token 应该被保存起来,放到 local / session stograge 或者 cookies
2. Tokens 除了像 cookie 同样有有效期，并且能够有更多的操做方法
3. 有须要的话，要加密而且签名 token
4. Tokens 不是万能的解决方法，得根据你的需求自行采用
5. 将 JSON Web Tokens 应用到 OAuth 2

相关连接：

• https://ninghao.net/blog/2834
• http://ju.outofmemory.cn/entry/134189