完全理解cookie，session，token

发展史

1. 好久好久之前，Web 基本上就是文档的浏览而已， 既然是浏览，做为服务器， 不须要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议， 就是请求加响应，  尤为是我不用记住是谁刚刚发了HTTP请求，   每一个请求对我来讲都是全新的。这段时间很嗨皮
2. 可是随着交互式Web应用的兴起，像在线购物网站，须要登陆的网站等等，立刻就面临一个问题，那就是要管理会话，必须记住哪些人登陆系统，  哪些人往本身的购物车中放商品，  也就是说我必须把每一个人区分开，这就是一个不小的挑战，由于HTTP请求是无状态的，因此想出的办法就是给你们发一个会话标识(session id), 说白了就是一个随机的字串，每一个人收到的都不同，  每次你们向我发起HTTP请求的时候，把这个字符串给一并捎过来， 这样我就能区分开谁是谁了
3. 这样你们很嗨皮了，但是服务器就不嗨皮了，每一个人只须要保存本身的session id，而服务器要保存全部人的session id ！  若是访问服务器多了， 就得由成千上万，甚至几十万个。

   这对服务器说是一个巨大的开销 ， 严重的限制了服务器扩展能力， 好比说我用两个机器组成了一个集群， 小F经过机器A登陆了系统，  那session id会保存在机器A上，  假设小F的下一次请求被转发到机器B怎么办？  机器B可没有小F的 session id啊。

   有时候会采用一点小伎俩： session sticky ， 就是让小F的请求一直粘连在机器A上， 可是这也无论用， 要是机器A挂掉了， 还得转到机器B去。

   那只好作session 的复制了， 把session id  在两个机器之间搬来搬去， 快累死了。

   后来有个叫Memcached的支了招： 把session id 集中存储到一个地方， 全部的机器都来访问这个地方的数据， 这样一来，就不用复制了， 可是增长了单点失败的可能性， 要是那个负责session 的机器挂了，  全部人都得从新登陆一遍， 估计得被人骂死。

   也尝试把这个单点的机器也搞出集群，增长可靠性， 但无论如何， 这小小的session 对我来讲是一个沉重的负担

4. 因而有人就一直在思考， 我为何要保存这可恶的session呢， 只让每一个客户端去保存该多好？

   但是若是不保存这些session id ,  怎么验证客户端发给个人session id 的确是我生成的呢？  若是不去验证，咱们都不知道他们是否是合法登陆的用户， 那些不怀好意的家伙们就能够伪造session id , 随心所欲了。

   嗯，对了，关键点就是验证 ！

   好比说， 小F已经登陆了系统， 我给他发一个令牌(token)， 里边包含了小F的 user id， 下一次小F 再次经过Http 请求访问个人时候， 把这个token 经过Http header 带过来不就能够了。

   不过这和session id没有本质区别啊， 任何人均可以能够伪造，  因此我得想点儿办法， 让别人伪造不了。

   那就对数据作一个签名吧， 好比说我用HMAC-SHA256 算法，加上一个只有我才知道的密钥，  对数据作一个签名， 把这个签名和数据一块儿做为token ，   因为密钥别人不知道， 就没法伪造token了。

   这个token 我不保存，  当小F把这个token 给我发过来的时候，我再用一样的HMAC-SHA256 算法和一样的密钥，对数据再计算一次签名， 和token 中的签名作个比较， 若是相同， 我就知道小F已经登陆过了，而且能够直接取到小F的user id ,  若是不相同， 数据部分确定被人篡改过， 我就告诉发送者： 对不起，没有认证。

    

   Token 中的数据是明文保存的（虽然我会用Base64作下编码， 但那不是加密）， 仍是能够被别人看到的， 因此我不能在其中保存像密码这样的敏感信息。

   固然， 若是一我的的token 被别人偷走了， 那我也没办法， 我也会认为小偷就是合法用户， 这其实和一我的的session id 被别人偷走是同样的。

   这样一来， 我就不保存session id 了， 我只是生成token , 而后验证token ，  我用个人CPU计算时间获取了个人session 存储空间 ！

   解除了session id这个负担，  能够说是无事一身轻， 个人机器集群如今能够轻松地作水平扩展， 用户访问量增大， 直接加机器就行。   这种无状态的感受实在是太好了！

Cookie

cookie 是一个很是具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以 K-V 形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。因为cookie是存在客户端上的，因此浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，因此每一个域的cookie数量是有限的。

Session

session 从字面上讲，就是会话。这个就相似于你和一我的交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方确定有某种特征（长相等）代表他就是张三。

session 也是相似的道理，服务器要知道当前发请求给本身的是谁。为了作这种区分，服务器就要给每一个客户端分配不一样的“身份标识”，而后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，能够有不少种方式，对于浏览器客户端，你们都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来讲更安全，但是session有一个缺陷：若是web服务器作了负载均衡，那么下一个操做请求到了另外一台服务器的时候session会丢失。

cookie和session的区别

session是存储服务器端，cookie是存储在客户端，因此session的安全性比cookie高。

获取session里的信息是经过存放在会话cookie里的session id获取的。而session是存放在服务器的内存中里，因此session里的数据不断增长会形成服务器的负担，因此会把很重要的信息存储在session中，而把一些次要东西存储在客户端的cookie里。

cookie确切的说分为两大类：会话cookie和持久化cookie。

会话cookie是存放在客户端浏览器的内存中，他的生命周期和浏览器是一致的，当浏览器关闭会话cookie也就消失了

持久化cookie是存放在客户端硬盘中，持久化cookie的生命周期是咱们在设置cookie时候设置的那个保存时间，session的信息是经过sessionid获取的，而sessionid是存放在会话cookie当中的，当浏览器关闭的时候会话cookie消失，因此sessionid也就消失了，可是session的信息还存在服务器端，只是查不到所谓的session但它并非不存在。因此session在服务器关闭的时候，或者是sessio过时，又或者调用了invalidate()，再或者是session中的某一条数据消失调用session.removeAttribute()方法，session在经过调用session.getsession来建立的。

Token

在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中，tokens 是多用户下处理认证的最佳方式。

如下几点特性会让你在程序中使用基于Token的身份验证

1. 无状态、可扩展
2.  支持移动设备
3.  跨程序调用
4.  安全

那些使用基于Token的身份验证的大佬们

大部分你见到过的API和Web应用都使用tokens。例如Facebook, Twitter, Google+, GitHub等。

 

Token的起源

在介绍基于Token的身份验证的原理与优点以前，不妨先看看以前的认证都是怎么作的。

基于服务器的验证

　  咱们都是知道HTTP协议是无状态的，这种无状态意味着程序须要验证每一次请求，从而辨别客户端的身份。

在这以前，程序都是经过在服务端存储的登陆信息来辨别请求的。这种方式通常都是经过存储Session来完成。

随着Web，应用程序，已经移动端的兴起，这种验证的方式逐渐暴露出了问题。尤为是在可扩展性方面。

 

基于服务器验证方式暴露的一些问题

1.Seesion：每次认证用户发起请求时，服务器须要去建立一个记录来存储信息。当愈来愈多的用户发请求时，内存的开销也会不断增长。

2.可扩展性：在服务端的内存中使用Seesion存储登陆信息，伴随而来的是可扩展性问题。

3.CORS(跨域资源共享)：当咱们须要让数据跨多台移动设备上使用时，跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另外一个域的资源，就能够会出现禁止请求的状况。

4.CSRF(跨站请求伪造)：用户在访问银行网站时，他们很容易受到跨站请求伪造的攻击，而且可以被利用其访问其余的网站。

在这些问题中，可扩展行是最突出的。所以咱们有必要去寻求一种更有行之有效的方法。

 

基于Token的验证原理

基于Token的身份验证是无状态的，咱们不将用户信息存在服务器或Session中。

这种概念解决了在服务端存储信息时的许多问题

NoSession意味着你的程序能够根据须要去增减机器，而不用去担忧用户是否登陆。

基于Token的身份验证的过程以下:

1. 用户经过用户名和密码发送请求。
2. 程序验证。
3. 程序返回一个签名的token 给客户端。
4. 客户端储存token,而且每次用于每次发送请求。
5. 服务端验证token并返回数据。

 每一次请求都须要token。token应该在HTTP的头部发送从而保证了Http请求无状态。咱们一样经过设置服务器属性Access-Control-Allow-Origin:* ，让服务器能接受到来自全部域的请求。须要主要的是，在ACAO头部标明(designating)*时，不得带有像HTTP认证，客户端SSL证书和cookies的证书。

  实现思路：

1. 用户登陆校验，校验成功后就返回Token给客户端。
2. 客户端收到数据后保存在客户端
3. 客户端每次访问API是携带Token到服务器端。
4. 服务器端采用filter过滤器校验。校验成功则返回请求数据，校验失败则返回错误码

 

当咱们在程序中认证了信息并取得token以后，咱们便能经过这个Token作许多的事情。

咱们甚至能基于建立一个基于权限的token传给第三方应用程序，这些第三方程序可以获取到咱们的数据（固然只有在咱们容许的特定的token）

 

Tokens的优点

无状态、可扩展

在客户端存储的Tokens是无状态的，而且可以被扩展。基于这种无状态和不存储Session信息，负载负载均衡器可以将用户信息从一个服务传到其余服务器上。

若是咱们将已验证的用户的信息保存在Session中，则每次请求都须要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时，可能会形成

 一些拥堵。

可是不要着急。使用tokens以后这些问题都迎刃而解，由于tokens本身hold住了用户的验证信息。

安全性

请求中发送token而再也不是发送cookie可以防止CSRF(跨站请求伪造)。即便在客户端使用cookie存储token，cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中，让咱们少了对session操做。 

token是有时效的，一段时间以后用户须要从新验证。咱们也不必定须要等到token自动失效，token有撤回的操做，经过token revocataion可使一个特定的token或是一组有相同认证的token无效。

可扩展性

Tokens可以建立与其它程序共享权限的程序。例如，能将一个随便的社交账号和本身的大号(Fackbook或是Twitter)联系起来。当经过服务登陆Twitter(咱们将这个过程Buffer)时，咱们能够将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。

使用tokens时，能够提供可选的权限给第三方应用程序。当用户想让另外一个应用程序访问它们的数据，咱们能够经过创建本身的API，得出特殊权限的tokens。

多平台跨域

咱们提早先来谈论一下CORS(跨域资源共享)，对应用程序和服务进行扩展的时候，须要介入各类各类的设备和应用程序。

Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.

只要用户有一个经过了验证的token，数据和资源就可以在任何域上被请求到。

Access-Control-Allow-Origin: *

基于标准

建立token的时候，你能够设定一些选项。咱们在后续的文章中会进行更加详尽的描述，可是标准的用法会在JSON Web Tokens体现。

最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在将来的使用中你能够真正的转换你的认证机制。