基于Session的认证和基于Token的认证

传统的session认证

http协议本身是一种无状态的协议，这意味着如果用户向我们的应用tigo9ng了用户名和密码来进行用户认证，那么下一次请求时，用户还要在一次记性用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了能够让我们的应用能够识别用户，我们只能在服务器存储一份用户端登录的信息，这份登录信息会在响应时传给浏览器，告诉其保存为cookie，以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自那个用户了，这就是传统的session认证。

但是这种基于session的认证使应用本身很难得到扩展，随着不同客户端用户端额增加，独立的服务器已经无法承载更多的用户，这个时候基于session认证应用的问题就会暴露出来：

1. 服务器压力大： 每个用户经过服务器认证之后，服务器都要做一次记录，通常这些记录都是保存在内存中，而随着认证用户的增多，服务器开销会明显增大
2. 程序扩展性变差：用户认证后，服务器做认证记录，如果认证的记录被保存在内存中的话，这意味着用户下次请求还必须在这台服务器上才能拿到授权的资源，这样在分布式的应用上，相应的限制了负载均衡器的能力，也就意味着限制了扩展的能力
3. 安全性偏低：因为是基于cookie来进行用户识别的，cookie如果被截获，用户就会很容易受到跨站请求伪造（CSRF）的攻击

基于Token的的认证机制

基于token的认证机制类似于http协议也是无状态的，他不需要在服务器端去保留用户的认证信息或会话信息。这意味着，基于token认证机制的应用不需要考虑用户在哪一台服务器登录了，为扩展提供了便利

基于Token的认证流程

1. 用户使用用户名和密码来请求服务器
2. 服务器进行验证用户端额信息，服务器通过验证后发送给用户一个token
3. 客户端存储token，并在每次请求时附加上token的值
4. 服务端验证token值，并返回数据