聊一聊Token

阔别了一阵，再次提笔，有些感慨。

聊聊Token吧，以前工作中总是遇到。

首先明确什么是token？

一些关键标签：服务端签发的一个字符串，客户端的请求令牌，用户第一次使用用户名密码登录后生成，在token的有效期内使用token登录无需用户名密码

明确之后我们来聊聊，token的生成及请求过程：

1、客户端带上用户名密码请求登录（前端校验通过）

2、服务器收到请求，校验用户名密码（服务端校验通过）

3、服务端签发token，并写进cookie发送给客户端

4、客户端收到token后会存入cookies或者LocalStorage中

5、客户端请求服务端每次都会携带这串token（具体携带方式：放消息体里，或者url直接携带）

6、服务端收到token后，验证通过，开始返回相应数据（验证不通过会返回错误信息）

7、token在服务端会设置一个有效期，每次请求都会验证是否token过期和token的有效性

• 注意：token在url中被携带时注意浏览器的url截断问题，有可能会导致登录验证不通过（经验之谈，苹果设备上见过，尤其是从端跳H5）从测试角度去看的这个问题。

那为什么要用token？

1、支持跨域访问，token支持跨域访问，但cookie不支持

2、可以避开同源策略（后面会写写我理解的同源策略）

3、token是无状态的，可以多个服务器间共享（无状态在后面写写）

4、token可以避免CSRF攻击（跨站请求伪造）

5、易于扩展

扩展：

　　那啥是CSRF呢？简单理解，就是攻击者盗用了你的身份信息，并完成以你的名义发起的恶意活动。至于多恶意，比如：转账！发邮件！购物！……

至于完成一次CSRF攻击必要的两个步骤：

　　1、首先登了一个正常的网站A，并且在本地生成了cookie

　　2、在cookie有效时间内，访问了危险网站B（就获取了身份信息）

Q：那我不访问危险网站就完了呗？

A：危险网站也许只是个存在漏洞的可信任网站！

Q：那我访问完正常网站，关了浏览器就好了呀？

A：即使关闭浏览器，cookie也不保证一定立即失效，而且关闭浏览器并不能结束会话，session的生命周期跟这些都没关系。

当然CSRF不在本次研究重点！

　啥是同源策略捏？就是不同源的客户端脚本在没有明确授权情况下，不准读写对方的资源！

问题来了：啥是源？

源就是协议，域名，端口号。

同源：就是url里的源都相同。（听着像废话！哈哈）

举例：http://www.abcd.com:80 

http://www.abcd.com/dir/index.html(同源)

http://www.ah.com/dir1/index.html(域名不同，不同源)

https://www.abcd.com/dir2/page.html(协议不同，不同源)

http://www.abcd.com:8888/dir3/page.html(端口号不同，不同源)

所以，如果假设a.com中的js脚本要是采用ajax去读写b.com中的资源文件数据是会报错滴！

但有不收同源策略限制的：1、页面中的连接，重定向及表单提交 2、跨域资源的引入可以，但js不能读写加载的内容，如：iframe，img，link，<script src=''>等等。

　那啥是跨域？想要操作另一个源下的对象就需要跨域！

至于怎么跨域，或者跨域的实现方式，咱们以后再讨论！

  易于扩展：比如有多台服务器，使用负载均衡，第一次登录转发到了A，A中seesion缓存了用户的登录信息，第二次登录转发到了B，这时候就丢失了登录状态，，当然这样也是有解决方案可以共享session，但token只需要所有的服务器使用相同的解密手段即可。

　无状态：服务端不保存客户端请求者的任何信息，客户端每次请求必须自备描述信息，通过这些信息来识别客户端身份。服务端只需要确认该token是否是自己亲自签发即可，签发和验证都在服务端进行。这里面其实涉及加密方法，后续讨论，给自己立个flag！

 　　有状态：我们说的cookie和session就是有状态的，第一次客户端请求，服务端产生session，然后将信息返回给浏览器，浏览器会将session中的关键数据，保存到本地的cookie中，然后每次客户端请求都会携带cookie去访问服务器，这时服务器就会拿出session中的内容和携带过来的cookie进行比较。

　　 缺点：服务器需要保存大量数据，给存储增加压力。服务端保存用户状态，很难水平扩展。客户端请求依赖服务器，多次请求必须访问同一台服务器（假设集群，就需要各个服务器之间共享数据），有状态登录的方式难以共享session，所以采用单点登录的方式。

请多指教，有啥新理解持续更新！