Token的详解

前言:

为什么会用到Token，因为cookie和session一些自身的缺点，限制了一些功能的实现，比如：
cookie：优点是节省服务器空间，缺点不安全。不要保存敏感信息。
session：优点是安全，缺点需要服务器空间(服务器重启，则数据丢失)， 是一种最常见的解决方案。而这个时候,我们用token就能更好。

简介:

token的意思是“令牌”，是服务端生成的一串字符串，作为客户端进行请求的一个标识。
JWT（json web token） 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{
"姓名": "箫哥",
"角色": "管理员",
"到期时间": "2024年7月11日0点0分"
}

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。
当然，为了防止用户篡改数据，服务器在生成这个对象的时候，会给他加密一下，就是我们看到的一个长长的字符串
如图所示：

使用token：

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的

1.前端使用用户名跟密码请求首次登录

2.后服务端收到请求，去验证用户名与密码是否正确

3.验证成功后，服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个 Token，再把这个 Token 发送给前端

4.前端收到 返回的Token ，把它存储起来，比如放在 Cookie 里或者 Local Storage 里

5.前端每次路由跳转，判断 localStroage 有无 token ，没有则跳转到登录页。有则请求获取用户信息，改变登录状态；

6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Token

7.服务端收到请求，然后去验证前端请求里面带着的 Token。没有或者 token 过期，返回401。如果验证成功，就向前端返回请求的数据。

8.前端得到 401 状态码，重定向到登录页面。