Token 认证流程

• 作为目前最流行的跨域认证解决方案，JWT（JSON Web Token） 深受开发者的喜爱，主要流程如下：
• 客户端发送账号和密码请求登录
• 服务端收到请求，验证账号密码是否通过
• 验证成功后，服务端会生成唯一的 token，并将其返回给客户端
• 客户端接受到 token，将其存储在 cookie 或者 localStroge 中
• 之后每一次客户端向服务端发送请求，都会通过 cookie 或者header 携带该 token
• 服务端验证 token 的有效性，通过才返回响应的数据

Token 认证优点

• 支持跨域访问：Cookie 是不允许跨域访问的，这一点对 Token 机制是不存在的，前提是传输的用户认证信息通过 HTTP 头传输
• 无状态： Token 机制在服务端不需要存储 session 信息，因为 Token 自身包含了所有登录用户的信息，只需要在客户端的 cookie 或本地介质存储状态信息
• 适用性更广： 只要是支持 http 协议的客户端，就可以使用 token 认证。
• 无需考虑CSRF： 由于不再依赖 cookie，所以采用 token 认证方式不会发生 CSRF，所以也就无需考虑 CSRF 的防御

JWT 结构

• 一个 JWT 实际上就是一个字符串，它由三部分组成：头部、载荷与签名。中间用点 . 分隔成三个部分。注意 JWT 内部是没有换行的。