浅析token

      上一章节我们学习了cookie和session机制，但是他们都有一些缺点，所有这次我们来了解一个机制---token。

一、cookie和session的缺点

      cookie信息存储在客户端浏览器上，安全性较低，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

      session中服务器需维护用户的会话状态信息，这导致了服务器资源的占用和开销增加。水平扩展困难。而且如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。

二、什么是token？

1、概念

       Token（令牌）是在计算机系统中用于进行身份验证和授权的一种机制。它是一个特定的字符串，用于标识用户、应用程序或其他实体的身份和权限。

2、token验证原理

• 当用户登录系统时，系统会验证用户的凭据（如用户名和密码）。
• 验证通过，然后为该用户颁发一个令牌。这个令牌可以是一个随机生成的字符串，也可以是基于加密算法生成的。令牌通常包含有关用户身份的信息，如用户ID、角色、权限等。
• 此后系统可以在令牌有效时间内，根据令牌中的权限信息来判断用户是否有权进行请求的操作，无需再次带上用户的凭据（如用户名和密码）。

3、token特点

  （1）唯一性：每个令牌都是唯一的，用于标识特定的用户或实体。

  （2）时效性：令牌通常具有有效期限制，一旦超过有效期，令牌将失效，需要重新进行身份验证。

  （3)安全性：令牌可以采用加密算法进行签名，以保证其完整性和安全性，防止被篡改或伪造。

    (4)无状态性：令牌是一种无状态的认证方式，服务器不需要在后端维护用户的会话状态，使得服务器更容易扩展和水平扩展。

    (5)跨域支持：令牌可以方便地在不同的域名或跨域请求中传递和验证，提供了更灵活的身份验证机制。

4、cookie，session和token的区别

方式	存放地方	安全性	其他
cookie	客户端	不安全	数量有限制
session	服务器	相对安全	依赖于Cookie实现
token	客户端	相对安全	每个请求都有签名还能防止监听以及重放攻击