程序员应该如何设计更优雅的Token认证方式

把认证信息保存在客户端，关键点就是安全的验证，如果能解决认证信息的安全性问题，完全可以把认证信息保存在客户端，服务端完全无认证状态，这样的话服务端扩展起来要方便很多。关于信息的安全解决方案，现在普遍的做法就是签名机制，像微信公众接口的验证方式就基于签名机制。签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。当用户成功登系统并成功验证有效之后，服务器会利用某种机制产生一个token字符串，这个token中可以包含很多信息，例如来源IP，过期时间，用户信息等， 把这个字符串下发给客户端，客户端在之后的每次请求

中都携带着这个token，携带方式其实很自由，无论是cookie方式还是其他方式都可以，但是必须和服务端协商一致才可以。当然这里我不推荐cookie。当服务端收到请求，取出token进行验证（可以验证来源ip，过期时间等信息），如果合法则允许进行 *** 作。基于token的验证方式也是现代互联网普通使用的认证方式，那它有什么优点

1支持跨域访问，Cookie是不允许垮访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过>

2无状态:Token机制在服务端不需要存储session信息，因为Token自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息

3解耦 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成调用即可

4适用性更广：只要是支持>

5服务端只需要验证token的安全，不必再去获取登录用户信息，因为用户的登录信息已经在token信息中。

6基于标准化:你的API可以采用标准化的 JSON Web Token (JWT) 这个标准已经存在多个后端库（NET, Ruby, Java,Python,PHP）和多家公司的支持（如：Firebase,Google, Microsoft）

session session的中文翻译是“会话”，当用户打开某个web应用时，便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上，用户离开中国站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个 *** 作请求到了另一台服务器的时候session会丢失。 cookie cookie是保存在本地终端的数据。cookie由服务器生成，发送给浏览器，浏览器把cookie以kv形式保存到某个目录下的文本文件内，下一次请求同一中国站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。 cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，一般设置为全局:"\")、失效时间、安全标志(指定后，cookie只有在使用SSL连接时才发送到服务器(>

一般有五种方式：

1、Token授权认证，防止未授权用户获取数据；

2、时间戳超时机制；

3、URL签名，防止请求参数被篡改；

4、防重放，防止接口被第二次请求，防采集；

5、采用>

token(令牌)和sign(签名)的区别：Token：令牌是用来判断用户身份的一个标识。Sign：签名是服务端在接受到用户请求的时候判断该请求是否是来自于自己允许的平台(自己允许的平台有统一的加密规则)。

在实际开发工作中应该先通过webfilter解密，解密后进行验证签名(返回数据时，过程反过来，先签名再加密)。然后再springmvc的Interceptor中进行验证token。

我们来继续前两章（ OAuth2 总结 , 对OpenID Connect的理解 ）的讨论，进入对JWT的理解。先来简单回顾一下OAuth2和OpenID：