Web 開發必須掌握的三個技術：Token、Cookie、Session

在Web應用中，HTTP請求是無狀態的。即：使用者第一次發起請求，與伺服器建立連線並登入成功後，為了避免每次開啟一個頁面都需要登入一下，就出現了cookie，Session。

Cookie

Cookie是客戶端儲存使用者資訊的一種機制，用來記錄使用者的一些資訊，也是實現Session的一種方式。Cookie儲存的資料量有限，且都是儲存在客戶端瀏覽器中。不同的瀏覽器有不同的儲存大小，但一般不超過4KB。因此使用Cookie實際上只能儲存一小段的文字資訊。

例如：登入網站，今輸入使用者名稱密碼登入了，第二天再開啟很多情況下就直接開啟了。這個時候用到的一個機制就是Cookie。

Session

Session是另一種記錄客戶狀態的機制，它是在服務端儲存的一個資料結構（主要儲存的的SessionID和Session內容，同時也包含了很多自定義的內容如：使用者基礎資訊、許可權資訊、使用者機構資訊、固定變數等），這個資料可以儲存在叢集、資料庫、檔案中，用於跟蹤使用者的狀態。

客戶端瀏覽器訪問伺服器的時候，伺服器把客戶端資訊以某種形式記錄在伺服器上。這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查詢該客戶的狀態就可以了。

使用者第一次登入後，瀏覽器會將使用者資訊傳送給伺服器，伺服器會為該使用者建立一個SessionId，並在響應內容（Cookie）中將該SessionId一併返回給瀏覽器，瀏覽器將這些資料儲存在本地。當使用者再次傳送請求時，瀏覽器會自動的把上次請求儲存的Cookie資料自動的攜帶給伺服器。

伺服器接收到請求資訊後，會透過瀏覽器請求的資料中的SessionId判斷當前是哪個使用者，然後根據SessionId在Session庫中獲取使用者的Session資料返回給瀏覽器。

例如：購物車，新增了商品之後客戶端處可以知道新增了哪些商品，而伺服器端如何判別呢，所以也需要儲存一些資訊就用到了Session。

如果說Cookie機制是透過檢查客戶身上的“通行證”來確定客戶身份的話，那麼Session機制就是透過檢查伺服器上的“客戶明細表”來確認客戶身份。Session相當於程式在伺服器上建立的一份客戶檔案，客戶來訪的時候只需要查詢客戶檔案表就可以了。

Session生成後，只要使用者繼續訪問，伺服器就會更新Session的最後訪問時間，並維護該Session。為防止記憶體溢位，伺服器會把長時間內沒有活躍的Session從記憶體刪除。這個時間就是Session的超時時間。如果超過了超時時間沒訪問過伺服器，Session就自動失效了。

Token

HTTP請求都是以無狀態的形式對接。即HTTP伺服器不知道本次請求和上一次請求是否有關聯。所以就有了Session的引入，即服務端和客戶端都儲存一段文字，客戶端每次發起請求都帶著，這樣伺服器就知道客戶端是否發起過請求。

這樣，就導致客戶端頻繁向服務端發出請求資料，服務端頻繁的去資料庫查詢使用者名稱和密碼並進行對比，判斷使用者名稱和密碼正確與否。而Session的儲存是需要空間的，頻繁的查詢資料庫給伺服器造成很大的壓力。

在這種情況下，Token應用而生。

Token是服務端生成的一串字串，以作客戶端進行請求的一個令牌。當客戶端第一次訪問服務端，服務端會根據傳過來的唯一標識userId，運用一些演算法，並加上金鑰，生成一個Token，然後透過BASE64編碼一下之後將這個Token返回給客戶端，客戶端將Token儲存起來（可以透過資料庫或檔案形式儲存本地）。下次請求時，客戶端只需要帶上Token，伺服器收到請求後，會用相同的演算法和金鑰去驗證Token。

最簡單的Token組成:uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，由Token的前幾位+鹽以雜湊演算法壓縮成一定長的十六進位制字串，可以防止惡意第三方拼接Token請求伺服器)。

使用基於 Token 的身份驗證方法，在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的：

客戶端使用使用者名稱跟密碼請求登入

服務端收到請求，去驗證使用者名稱與密碼

驗證成功後，服務端會簽發一個 Token，再把這個 Token 傳送給客戶端

客戶端收到 Token 以後可以把它儲存起來，比如放在 Cookie 裡或者資料庫裡

客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token

服務端收到請求，然後去驗證客戶端請求裡面帶著的 Token，如果驗證成功，就向客戶端返回請求的資料

APP登入的時候傳送加密的使用者名稱和密碼到伺服器，伺服器驗證使用者名稱和密碼，如果成功，以某種方式比如隨機生成32位的字串作為Token，儲存到伺服器中，並返回Token到APP，以後APP請求時，凡是需要驗證的地方都要帶上該Token，然後伺服器端驗證Token，成功返回所需要的結果，失敗返回錯誤資訊，讓他重新登入。

對於同一個APP同一個手機當前只有一個Token；手機APP會儲存一個當前有效的Token。其中伺服器上Token設定一個有效期，每次APP請求的時候都驗證Token和有效期。

下面這個例子，可以很好的理解：

『給我來份煎餅（token我是你對面攤賣烤冷麵的，scope賒賬）』『好』

『雞蛋（token我是你對面攤賣烤冷麵的，scope賒賬）』『好』

『再加個雞蛋（token我是你對面攤賣烤冷麵的，scope賒賬）』『好』

最終得到一份普通煎餅，外加兩個雞蛋……

如果伺服器重啟或者因為其他理由，伺服器端已儲存token丟失。那麼使用者需 要重新登入和認證。

『給我來份煎餅（token我是你對面攤賣烤冷麵的）』『那個……我沒見過你』