基于token与基于服务器的身份认证

一、基于服务器的身份认证

咱们清楚 http 协议是无状态的，也就是说，若是咱们已经认证了一个用户，那么他下一次请求的时候，服务器不知道我是谁，咱们就必需要再次认证。

咱们与浏览器交互时，好比说登录成功后，你再去获取其余的数据，服务器能准确的给与响应，怎么作到的呢？

登录成功后，服务器会为你开辟一块内存区间 （能够理解为 session），用于存放你此次会话的一些内容，好比姓名、性别、年龄等；

存放数据的同时，会生成 session id来标记这块内存区间是属于你的，而且，这个 session id( jsessionid ) 会写入到你的浏览器 cookie 中，

只要你浏览器没关闭，每次向服务器发送请求，服务器就会从你发送过来的 cookie 中去取这个 session id，而后根据这个 session id 到相应的内存中

取出你以前存放的数据，可是，若是退出登陆。服务器会清除属于你的内存区域，再登陆时，从新生成新的 session

可是，上边这种基于服务器的身份认证是有一些问题的：

• session 每次用户认证后，服务器都要建立一条记录保存用户数据，一般发生在内存中，随着认证经过的用户愈来愈多，服务器的在这里的开销就会愈来愈大…

• Scalability : 因为Session是在内存中的，这就带来一些扩展性的问题。

• CORS : 当咱们想要扩展咱们的应用，让咱们的数据被多个移动设备使用时，咱们必须考虑跨资源共享问题。当使用AJAX调用从另外一个域名下获取资源时，咱们可能会遇到禁止请求的问题。

• CSRF : 用户很容易受到CSRF攻击。

二、基于 Token 的身份认证

基于 token 的身份认证是无状态的，服务器或者 session 中不会存储任何用户信息。

采用 token 这种方式，一般咱们是要先去禁用 session 的，设置为 session 为 SessionCreationPolicy.STATELESS

没有会话信息意味着应用程序能够根据须要扩展和添加更多的机器，而没必要担忧用户登陆的位置。 --- 单点登陆？

虽然这一实现可能会有所不一样，但其主要流程以下：

1. 用户携带用户名和密码请求访问
2. 服务器校验用户凭据
3. 应用提供一个token给客户端
4. 客户端存储token，而且在随后的每一次请求中都带着它
5. 服务器校验token并返回数据

注意：

1. 每一次请求都须要token
2. Token应该放在请求header中
3. 咱们还须要将服务器设置为接受来自全部域的请求，用Access-Control-Allow-Origin: *

使用 token 的好处？

一、无状态和可扩展性

Tokens存储在客户端。彻底无状态，可扩展。咱们的负载均衡器能够将用户传递到任意服务器，由于在任何地方都没有状态或会话信息。

二、安全

*Token不是Cookie。（The token, not a cookie.）每次请求的时候Token都会被发送。并且，因为没有Cookie被发送，还有助于防止CSRF攻击。即便在你的实现中将token存储到客户端的Cookie中，这个Cookie也只是一种存储机制，而非身份认证机制。没有基于会话的信息能够操做，由于咱们没有会话!

还有一点，token在一段时间之后会过时，这个时候用户须要从新登陆。这有助于咱们保持安全。还有一个概念叫token撤销，它容许咱们根据相同的受权许可以使特定的token甚至一组token无效。*

三、总结

前面一、2节，咱们了解了基于 token 的身份认证的一些优势，可是目前咱们所见的系统还是基于服务器身份认证的？

首先，这两年 vue、angular 等前端语言的火热，显然先后端分离已成为互联网项目开发的业界标准使用方式；

可是，先后端分离，必然促使开发人员的分离，毕竟，小公司全栈工程师仍是少数，因此对于 jsp 等原始人时代，

仍是有人在追捧的。