在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。
如下几点特性会让你在程序中使用基于Token的身份验证
1.无状态、可扩展
2.支持移动设备
3.跨程序调用
4.安全
那些使用基于Token的身份验证的大佬们
大部分你见到过的API和Web应用都使用tokens。例如Facebook, Twitter, Google+, GitHub等。跨域
在介绍基于Token的身份验证的原理与优点以前,不妨先看看以前的认证都是怎么作的。安全
咱们都是知道HTTP协议是无状态的,这种无状态意味着程序须要验证每一次请求,从而辨别客户端的身份。
在这以前,程序都是经过在服务端存储的登陆信息来辨别请求的。这种方式通常都是经过存储Session来完成。
下图展现了基于服务器验证的原理
tokens-traditional
随着Web,应用程序,已经移动端的兴起,这种验证的方式逐渐暴露出了问题。尤为是在可扩展性方面。服务器
1.Seesion:每次认证用户发起请求时,服务器须要去建立一个记录来存储信息。当愈来愈多的用户发请求时,内存的开销也会不断增长。
2.可扩展性:在服务端的内存中使用Seesion存储登陆信息,伴随而来的是可扩展性问题。
3.CORS(跨域资源共享):当咱们须要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另外一个域的资源,就能够会出现禁止请求的状况。
4.CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的***,而且可以被利用其访问其余的网站。
在这些问题中,可扩展行是最突出的。所以咱们有必要去寻求一种更有行之有效的方法。cookie
基于Token的身份验证是无状态的,咱们不将用户信息存在服务器或Session中。
这种概念解决了在服务端存储信息时的许多问题
NoSession意味着你的程序能够根据须要去增减机器,而不用去担忧用户是否登陆。ide
1.用户经过用户名和密码发送请求。
2.程序验证。
3.程序返回一个签名的token 给客户端。
4.客户端储存token,而且每次用于每次发送请求。
5.服务端验证token并返回数据。
每一次请求都须要token。token应该在HTTP的头部发送从而保证了Http请求无状态。咱们一样经过设置服务器属性Access-Control-Allow-Origin: ,让服务器能接受到来自全部域的请求。须要主要的是,在ACAO头部标明(designating)时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。网站