Token机制，session机制

对于初学者来说，对Token和Session的使用难免会限于困境，开发过程中知道有这个东西，但却不知道为什么要用他？

session机制：就是一个id号（cookie里面携带一个sessionid），所有客户的有效信息都存在服务端，只要产生sessionid后，客户端每次携带这个id就可以了，

　　　　　　就是所有的数据信息都在服务端，每次请求来服务端，得到sessionid里面，再到数据库里面，再到自己后端去查，看sessionid对应得是哪个客户得信息，就知道是哪个客户了。

1、Token引入：在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比,然后判断用户名和密码是否正确，并作出相应提示

2、Token：是服务端 把用户的有效信息 生成的一串字符串，直接放到Token里面，以作客户端进行请求的一个令牌。就不用频繁的去数据库查询

　　　  　  第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

3、如何知道传的Token值没有被篡改？或者用户等级只有一级，说自己是三级？如何去验证的？

答：因为Token有个叫哈希算法的，可以把 任意长度的数据（字节串）计算出一个为固定长度的结果数据。

hash算法是不可逆的，是只有服务端能产生这样的数据，然后服务端产生的数据，跟密钥去进行验证就可以了

4、如果是Token机制，是否需要去测试它是否被篡改？

答：如果是Token机制，有必要去验证一下，作为测试，站在对系统不信任的角度，应该去测一下，（拿不到服务端的密钥，可以去伪造一个密钥）

如果开发人员对这个机制不了解，本来是写的，每次改的时候，临时去掉，后来忘记写，直接打包到生产环境里面去，大家都可以伪造了，

所以，毫无疑问应该去测试！！！

5、使用Token的目的：Token的目的是为了减轻服务器的压力，减少频繁的查询数据库，使服务器更加健壮。

6、应用场景1：校验拷贝下载文件：

下载大文件，由于种种原因，可能会出现传输出错的，校验 下载的文件 是不是 毫无差错？

使用哈希算法：1、下载的网站上，先提供 源文件的 的 哈希值

　　　　　　　2、下载完后，在我们的电脑上，把本地下载到的 文件也计算哈希值

3、比对，如果相等，下载没有问题

7、 应用场景1：校验信息有效性：

每年开学时，学生到 管理部 交学费，手机上发一条信息 张三，学费已交，张三带着这个手机信息到 教学部 领书，担心手机短信是伪造的

管理部的人，张三，学费已交|13ty8ffbs2v   （哈希算法计算）

教学部的人，张三，学费已交|13ty8ffbs2v   （哈希算法计算）

密匙：13ty8ffbs2v（只有管理部跟教学部知道），如果相等，说明短信，没有伪造

8、Python语言计算哈希值（hash算法是不可逆的）

9、加密解密（加解密算法 是可逆的）

对称加密：指 加密和解密 使用相同的 密钥

　　　　　 常见的 对称加密算法有： AES, RC4, DES, 3DES, IDEA 等（安全等级较高的是 AES）

不对称加密：指 加密和解密 使用不同的 密钥

　　　　　　通常是一对密钥，称之为公钥（用来加密）和私钥（用来解密）（不对称加密系统 就是 RSA ）

Python语言加解密：pip install cryptography 安装该库