https://www.qikegu.com/easy-understanding/880
用戶認證
用戶認證或者說用戶登錄是確認某人確實是某人的過程,生活中靠身份證,網絡上就要靠賬號和密碼。用戶提供賬號和密碼,網站通過與數據庫中保存的賬號與密碼比對確認用戶身份。
基於token的用戶認證
基於token的用戶認證原理很簡單。讓用戶輸入賬號和密碼,然后獲得一個token(令牌),該token允許用戶在不使用賬號和密碼的情況下訪問特定的資源。一旦獲得token,用戶就獲得了在一段時間內對特定資源的訪問權限。
這個過程類似酒店開房,在酒店前台認證身份、登記入住,這個步驟相當於網站的登錄,然后酒店前台會給你一張房卡/鑰匙,這個就相當於獲得了一個token,然后拿着這個房卡/鑰匙就可以打開特定房間,相當於帶着token可以訪問某個頁面,這個房卡是有有效期的,同樣token也是有有效期的。
有了token,訪問特定頁面,用戶就不需要每次都輸入賬號和密碼登錄。
當然如果token泄漏了,別人也可拿着這個token冒名頂替,這個和密碼泄漏的效果是一樣的。
與session認證的區別
本質上來說,token與session認證的過程是相似的。區別之處在於,token認證過程沒有依賴session/cookie機制,相反session認證過程必須要在有session/cookie支持的環境下使用,有些移動端的app是不支持cookie的。
優點
優點有很多——例如,服務端無狀態有利於做集群等,token已經是互聯網項目中用戶認證的主流方式。
版權所有,未經許可,禁止轉載。