什么是token？

token的意思是“令牌”，是服務端生成的一串字符串，作為客戶端進行請求的一個標識。

當用戶第一次登錄后，服務器生成一個token并將此token返回給客戶端，以后客戶端只需帶上這個token前來請求數據即可，無需再次帶上用戶名和密碼。

簡單token的組成；uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign（簽名，token的前幾位以哈希算法壓縮成的一定長度的十六進制字符串。為防止token泄露）。

token機制的原理是什么

身份認證概述

由于HTTP是一種沒有狀態的協議，它并不知道是誰訪問了我們的應用。這里把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下次這個客戶端再發送請求時候，還得再驗證一下。

通用的解決方法就是，當用戶請求登錄的時候，如果沒有問題，在服務端生成一條記錄，在這個記錄里可以說明登錄的用戶是誰，然后把這條記錄的id發送給客戶端，客戶端收到以后把這個id存儲在cookie里，下次該用戶再次向服務端發送請求的時候，可以帶上這個cookie，這樣服務端會驗證一下cookie里的信息，看能不能在服務端這里找到對應的記錄，如果可以，說明用戶已經通過了身份驗證，就把用戶請求的數據返回給客戶端。

以上所描述的過程就是利用session，那個id值就是sessionid。我們需要在服務端存儲為用戶生成的session，這些session會存儲在內存，磁盤，或者數據庫。

基于token機制的身份認證

使用token機制的身份驗證方法，在服務器端不需要存儲用戶的登錄記錄。大概的流程：

客戶端使用用戶名和密碼請求登錄。服務端收到請求，驗證用戶名和密碼。驗證成功后，服務端會生成一個token，然后把這個token發送給客戶端。客戶端收到token后把它存儲起來，可以放在cookie或者Local Storage（本地存儲）里。客戶端每次向服務端發送請求的時候都需要帶上服務端發給的token。服務端收到請求，然后去驗證客戶端請求里面帶著token，如果驗證成功，就向客戶端返回請求的數據。

利用token機制進行登錄認證，可以有以下方式：

a.用設備mac地址作為token

客戶端：客戶端在登錄時獲取設備的mac地址，將其作為參數傳遞到服務端

服務端：服務端接收到該參數后，便用一個變量來接收，同時將其作為token保存在數據庫，并將該token設置到session中。客戶端每次請求的時候都要統一攔截，將客戶端傳遞的token和服務器端session中的token進行對比，相同則登錄成功，不同則拒絕。

此方式客戶端和服務端統一了唯一的標識，并且保證每一個設備擁有唯一的標識。缺點是服務器端需要保存mac地址；優點是客戶端無需重新登錄，只要登錄一次以后一直可以使用，對于超時的問題由服務端進行處理。

b.用sessionid作為token

客戶端：客戶端攜帶用戶名和密碼登錄

服務端：接收到用戶名和密碼后進行校驗，正確就將本地獲取的sessionid作為token返回給客戶端，客戶端以后只需帶上請求的數據即可。

此方式的優點是方便，不用存儲數據，缺點就是當session過期時，客戶端必須重新登錄才能請求數據。

當然，對于一些保密性較高的應用，可以采取兩種方式結合的方式，將設備mac地址與用戶名密碼同時作為token進行認證。

APP利用token機制進行身份認證

用戶在登錄APP時，APP端會發送加密的用戶名和密碼到服務器，服務器驗證用戶名和密碼，如果驗證成功，就會生成相應位數的字符產作為token存儲到服務器中，并且將該token返回給APP端。

以后APP再次請求時，凡是需要驗證的地方都要帶上該token，然后服務器端驗證token，成功返回所需要的結果，失敗返回錯誤信息，讓用戶重新登錄。其中，服務器上會給token設置一個有效期，每次APP請求的時候都驗證token和有效期。

token的存儲

token可以存到數據庫中，但是有可能查詢token的時間會過長導致token丟失（其實token丟失了再重新認證一個就好，但是別丟太頻繁，別讓用戶沒事兒就去認證）。

為了避免查詢時間過長，可以將token放到內存中。這樣查詢速度絕對就不是問題了，也不用太擔心占據內存，就算token是一個32位的字符串，應用的用戶量在百萬級或者千萬級，也是占不了多少內存的。

token的加密

token是很容易泄露的，如果不進行加密處理，很容易被惡意拷貝并用來登錄。加密的方式一般有：

在存儲的時候把token進行對稱加密存儲，用到的時候再解密。文章最開始提到的簽名sign：將請求URL、時間戳、token三者合并，通過算法進行加密處理。

最好是兩種方式結合使用。

還有一點，在網絡層面上token使用明文傳輸的話是非常危險的，所以一定要使用HTTPS協議。

關于我們：

Infocode藍暢信息技術有限公司成功為多家世界財富500強企業以及其他著名品牌提供優質服務，是您靠譜的互聯網開發供應商。

服務客戶遍及北京、上海、杭州、深圳、廣州、天津、青島、南京、寧波、蘇州、無錫、廈門、重慶、西安等大中型城市及地區    為您提供：H5開發，小程序開發，H5外包，微信開發，H5商城開發，小程序商城開發，網站開發外包，H5游戲開發，小程序開發外包，小程序設計、APP開發外包，UI設計，SEO優化，SEO外包，視頻后期制作等優質服務