在簡單理解cookie/session機制這篇文章中，簡要闡述了cookie和session的原理。本文將要簡單闡述另一個同cookie/session同樣重要的技術(shù)術(shù)語：token。

什么是token

token的意思是“令牌”，是服務(wù)端生成的一串字符串，作為客戶端進行請求的一個標識。

當用戶第一次登錄后，服務(wù)器生成一個token并將此token返回給客戶端，以后客戶端只需帶上這個token前來請求數(shù)據(jù)即可，無需再次帶上用戶名和密碼。

簡單token的組成；uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign（簽名，token的前幾位以哈希算法壓縮成的一定長度的十六進制字符串。為防止token泄露）。

身份認證概述

由于HTTP是一種沒有狀態(tài)的協(xié)議，它并不知道是誰訪問了我們的應(yīng)用。這里把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下次這個客戶端再發(fā)送請求時候，還得再驗證一下。

通用的解決方法就是，當用戶請求登錄的時候，如果沒有問題，在服務(wù)端生成一條記錄，在這個記錄里可以說明登錄的用戶是誰，然后把這條記錄的id發(fā)送給客戶端，客戶端收到以后把這個id存儲在cookie里，下次該用戶再次向服務(wù)端發(fā)送請求的時候，可以帶上這個cookie，這樣服務(wù)端會驗證一下cookie里的信息，看能不能在服務(wù)端這里找到對應(yīng)的記錄，如果可以，說明用戶已經(jīng)通過了身份驗證，就把用戶請求的數(shù)據(jù)返回給客戶端。

以上所描述的過程就是利用session，那個id值就是sessionid。我們需要在服務(wù)端存儲為用戶生成的session，這些session會存儲在內(nèi)存，磁盤，或者數(shù)據(jù)庫。

基于token機制的身份認證

使用token機制的身份驗證方法，在服務(wù)器端不需要存儲用戶的登錄記錄。大概的流程：

1. 客戶端使用用戶名和密碼請求登錄。
2. 服務(wù)端收到請求，驗證用戶名和密碼。
3. 驗證成功后，服務(wù)端會生成一個token，然后把這個token發(fā)送給客戶端。
4. 客戶端收到token后把它存儲起來，可以放在cookie或者Local Storage（本地存儲）里。
5. 客戶端每次向服務(wù)端發(fā)送請求的時候都需要帶上服務(wù)端發(fā)給的token。
6. 服務(wù)端收到請求，然后去驗證客戶端請求里面帶著token，如果驗證成功，就向客戶端返回請求的數(shù)據(jù)。

利用token機制進行登錄認證，可以有以下方式：

a.用設(shè)備mac地址作為token

客戶端：客戶端在登錄時獲取設(shè)備的mac地址，將其作為參數(shù)傳遞到服務(wù)端

服務(wù)端：服務(wù)端接收到該參數(shù)后，便用一個變量來接收，同時將其作為token保存在數(shù)據(jù)庫，并將該token設(shè)置到session中?？蛻舳嗣看握埱蟮臅r候都要統(tǒng)一攔截，將客戶端傳遞的token和服務(wù)器端session中的token進行對比，相同則登錄成功，不同則拒絕。

此方式客戶端和服務(wù)端統(tǒng)一了唯一的標識，并且保證每一個設(shè)備擁有唯一的標識。缺點是服務(wù)器端需要保存mac地址；優(yōu)點是客戶端無需重新登錄，只要登錄一次以后一直可以使用，對于超時的問題由服務(wù)端進行處理。

b.用sessionid作為token

客戶端：客戶端攜帶用戶名和密碼登錄

服務(wù)端：接收到用戶名和密碼后進行校驗，正確就將本地獲取的sessionid作為token返回給客戶端，客戶端以后只需帶上請求的數(shù)據(jù)即可。

此方式的優(yōu)點是方便，不用存儲數(shù)據(jù)，缺點就是當session過期時，客戶端必須重新登錄才能請求數(shù)據(jù)。

當然，對于一些保密性較高的應(yīng)用，可以采取兩種方式結(jié)合的方式，將設(shè)備mac地址與用戶名密碼同時作為token進行認證。

APP利用token機制進行身份認證

用戶在登錄APP時，APP端會發(fā)送加密的用戶名和密碼到服務(wù)器，服務(wù)器驗證用戶名和密碼，如果驗證成功，就會生成相應(yīng)位數(shù)的字符產(chǎn)作為token存儲到服務(wù)器中，并且將該token返回給APP端。

以后APP再次請求時，凡是需要驗證的地方都要帶上該token，然后服務(wù)器端驗證token，成功返回所需要的結(jié)果，失敗返回錯誤信息，讓用戶重新登錄。其中，服務(wù)器上會給token設(shè)置一個有效期，每次APP請求的時候都驗證token和有效期。

token的存儲

token可以存到數(shù)據(jù)庫中，但是有可能查詢token的時間會過長導致token丟失（其實token丟失了再重新認證一個就好，但是別丟太頻繁，別讓用戶沒事兒就去認證）。

為了避免查詢時間過長，可以將token放到內(nèi)存中。這樣查詢速度絕對就不是問題了，也不用太擔心占據(jù)內(nèi)存，就算token是一個32位的字符串，應(yīng)用的用戶量在百萬級或者千萬級，也是占不了多少內(nèi)存的。

token的加密

token是很容易泄露的，如果不進行加密處理，很容易被惡意拷貝并用來登錄。加密的方式一般有：

1. 在存儲的時候把token進行對稱加密存儲，用到的時候再解密。
2. 文章最開始提到的簽名sign：將請求URL、時間戳、token三者合并，通過算法進行加密處理。

最好是兩種方式結(jié)合使用。

還有一點，在網(wǎng)絡(luò)層面上token使用明文傳輸?shù)脑捠欠浅ＮｋU的，所以一定要使用HTTPS協(xié)議。

總結(jié)

以上就是對于token在用戶身份認證過程中的簡單總結(jié)。希望沒有技術(shù)背景的產(chǎn)品經(jīng)理們在和開發(fā)哥哥溝通的時候不要再被這些技術(shù)術(shù)語問住了。

作者：流年，互聯(lián)網(wǎng)產(chǎn)品設(shè)計師，4年互聯(lián)網(wǎng)產(chǎn)品設(shè)計經(jīng)驗。

本文由 @流年 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖由作者提供