token、session、cookie三者區別

token是用戶身份的驗證方式，最簡單的token組成:uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，由token的前幾位+鹽以哈希算法壓縮成一定長的十六進制字符串，可以防止惡意第三方拼接token請求服務器)。還可以把不變的參數也放進token，避免多次查庫

2.傳統身份驗證
HTTP是一種沒有狀態的協議，並不知道誰是訪問者。假設一個客戶端訪問服務端時發送賬號密碼，通過驗證。下回它再次訪問時，還是需要驗證。
解決辦法（session+cookie）：
1）客戶端訪問時，通過了驗證。
2）服務端生成一條記錄，記錄一些必要信息。
3）把記錄這些信息的ID號發送給客戶端
4）客戶端收到ID號后存儲在cookie中
5）下次客戶端重新訪問服務端時，帶上cookie信息
6）服務端驗證cookie里面的信息，如果能找到對應的記錄，則用戶通過了驗證

3.token身份驗證
1）客戶端使用賬號密碼請求登錄
2）服務端收到請求，驗證賬號密碼
3）驗證通過，服務端簽發一個token給客戶端
4）客戶端收到token存儲起來（例：存在cookie）
5）客戶端每次請求服務端時帶着服務端簽發的token
6）服務端收到請求，驗證token。驗證成功則返回數據給客戶端

4.常見問題
1.服務器上的token存儲到數據庫中，每次查詢會不會很費時？

如果存儲到數據庫中會造成系統的性能問題，可以放在內存中

2.客戶端得到的token需要如何處理？

i.在存儲的時候把token對稱加密
ii.將請求url、時間戳、token三者合並加鹽簽名，服務器驗證有效性