Token&Cookies&Session

---

title: Token&Cookies&Session
date: 2018-04-19 19:52:01
tags: [vue,token,cookies,session,login]
categories: 前端技術
---
最近遇到先後端驗證登錄的問題，學習並記錄如何驗證。如今許多的大型網站已經採用Token的方式進行驗證，簡化了驗證流程。百度百科稱token是一種令牌機制，實際上就是一串加密的字符串，經過解密來驗證是否登錄。

傳統驗證登錄的方法

HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這裏咱們把用戶當作是客戶端，客戶端使用用戶名還有密碼經過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登陸的時候，若是沒有問題，咱們在服務端生成一條記錄，這個記錄裏能夠說明一下登陸的用戶是誰，而後把這條記錄的 ID 號發送給客戶端，客戶端收到之後把這個 ID 號存儲在 Cookie 裏，下次這個用戶再向服務端發送請求的時候，能夠帶着這個 Cookie ，這樣服務端會驗證一個這個 Cookie 裏的信息，看看能不能在服務端這裏找到對應的記錄，若是能夠，說明用戶已經經過了身份驗證，就把用戶請求的數據返回給客戶端。

上面說的就是 Session，咱們須要在服務端存儲爲登陸的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫裏。咱們可能須要在服務端按期的去清理過時的 Session 。

基於Token的驗證方法

採用Token的驗證方式，須要將Token字符串在本地記錄，通常使用LocalStorage或者SessionStorage在本地儲存起來。具體流程以下：

1. 客戶端使用用戶名跟密碼請求登陸
2. 服務端收到請求，去驗證用戶名與密碼
3. 驗證成功後，服務端會簽發一個 Token，再把這個 Token 發送給客戶端
4. 客戶端收到 Token 之後能夠把它存儲起來，好比放在 Cookie 裏或者 Local Storage 裏
5. 客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
6. 服務端收到請求，而後去驗證客戶端請求裏面帶着的 Token，若是驗證成功，就向客戶端返回請求的數據

JWT

實現token的方式能夠有不少，JWT是其中的一種方式，其實本質上只是一個字符串，不管什麼字符串均可以，但須要保證加密的可靠性，以及相關的標準，這樣比較符合開發邏輯。這種驗證方式的Token包含三個部分，具體以下：

1. header
   
2. payload
   
3. signature

三部分使用「，」隔開，而且使用base64編碼。實例以下：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部份內容，一個是 Token 的類型，另外一個是使用的算法，好比下面類型就是 JWT，使用的算法是 HS256。
{ "typ": "JWT", "alg": "HS256" }
上述字符經過Base64編碼後獲得eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 裏面是 Token 的具體內容，這些內容裏面有一些是標準字段，你也能夠添加其它須要的內容。下面是標準字段：

• iss：Issuer，發行者
• sub：Subject，主題
• aud：Audience，觀衆
• exp：Expiration time，過時時間
• nbf：Not before
• iat：Issued at，發行時間
• jti：JWT ID

例如：

{ "iss": "ninghao.net", "exp": "1438955445", "name": "wanghao", "admin": true }

Signature

JWT 的最後一部分是 Signature ，這部份內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個至關因而一個密碼，這個密碼祕密地存儲在服務端。

• header
• payload

• secret

  var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
  HMACSHA256(encodedString, 'secret');

處理完成之後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成而且要發送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 之後把它存儲下來，下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ，而後進行驗證，經過之後就會返回給客戶端想要的資源。

Token使用中須要注意的幾點

1. Token 應該被保存起來,放到 local / session stograge 或者 cookies
2. Tokens 除了像 cookie 同樣有有效期，並且能夠有更多的操做方法
3. 有須要的話，要加密而且簽名 token
4. Tokens 不是萬能的解決方法，得根據你的需求自行採用
5. 將 JSON Web Tokens 應用到 OAuth 2

相關連接：

• https://ninghao.net/blog/2834
• http://ju.outofmemory.cn/entry/134189