咱们大家在客户端频繁向服务端申请数据时,服务端就会频繁的去数据库查问用户名和明码并进行比照,判断用户名和明码正确与否,并作出相应提醒,也就是在这样的背景下Token便应运而生。

简略来说,Token是服务端生成的一串字符串,以作为客户端进行申请的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,当前客户端只需带上这个Token前来申请数据即可,无需再次带上用户名和明码,其目标是为了加重服务器的压力,缩小频繁的查询数据库,使服务器更加强壮。

生成Token过程中的数据加密

在客户端申请服务器端生成token的过程中,次要波及的两个数据须要加密的状况。一是首次登陆时须要传用户名和明码,其中明码不能以明文传输,须要RSA进行加密,传到服务器端再通过私钥进行解密。二是服务器首次传输token给客户端时能够对token进行RSA加密,客户端再通过私钥进行解密,如下图:

简略理解了Token的生成过程和作用后,咱们一起来探讨一下罕用的认证机制,次要有HTTP Basic Auth(HTTP根本身份验证)、OAuth(凋谢受权)、Cookie Auth、Token Auth四种机制。

HTTP Basic Auth
HTTP Basic Auth(HTTP根本身份验证),简略点阐明就是每次申请API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 应用的最简略的认证形式,只需提供用户名明码即可,但因为有把用户名明码裸露给第三方客户端的危险,在生产环境下被应用的越来越少。因而,在开发对外开放的RESTful API时,尽量避免采纳HTTP Basic Auth

OAuth
OAuth(凋谢受权)是一个凋谢的受权规范,容许用户让第三方利用拜访该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和明码提供给第三方利用。

OAuth容许用户提供一个令牌,而不是用户名和明码来拜访他们寄存在特定服务提供者的数据。每一个令牌受权一个特定的第三方零碎(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内拜访特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户能够受权第三方网站拜访他们存储在另外服务提供者的某些特定信息,而非所有内容
上面是OAuth2.0的流程:

这种基于OAuth的认证机制实用于集体消费者类的互联网产品,如社交类APP等利用,然而不太适宜领有自有认证权限治理的企业应用。

Cookie Auth
Cookie(贮存在用户本地终端上的数据)认证机制就是为一次申请认证在服务端创立一个Session对象,同时在客户端的浏览器端创立了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态治理的。默认的,当咱们敞开浏览器的时候,cookie会被删除。但能够通过批改cookie 的expire time使cookie在肯定工夫内无效;

Cookie次要使用于以下三个方面:

1、会话状态治理,如用户登录状态、购物车、游戏分数或其余须要记录的信息;

2、个性化设置,如用户自定义设置、主题等;

3、浏览器行为跟踪。

Token Auth

Token Auth的长处

Token机制绝对于Cookie机制又有什么益处呢?

1.反对跨域拜访:Cookie是不容许垮域拜访的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输。

2.无状态(也称:服务端可扩大行):Token机制在服务端不须要存储session信息,因为Token 本身蕴含了所有登录用户的信息,只须要在客户端的cookie或本地介质存储状态信息。

3.更实用CDN:能够通过内容散发网络申请你服务端的所有材料(如:javascript,HTML,图片等),而你的服务端只有提供API即可。

4.去耦:不须要绑定到一个特定的身份验证计划。Token能够在任何中央生成,只有在你的API被调用的时候,你能够进行Token生成调用即可。

5.更实用于挪动利用:当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被反对的(你须要通过Cookie容器进行解决),这时采纳Token认证机制就会简略得多。

6.CSRF:因为不再依赖于Cookie,所以你就不须要思考对CSRF(跨站申请伪造)的防备。

7.性能:一次网络往返工夫(通过数据库查问session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多。

8.不须要为登录页面做非凡解决:如果你应用Protractor 做功能测试的时候,不再须要为登录页面做非凡解决。

9.基于标准化:你的API能够采纳标准化的 JSON Web Token (JWT),这个规范曾经存在多个后端库(NET, Ruby, Java,Python, PHP)和多家公司的反对(如:Firebase,Google, Microsoft)。