? ? ? http 協(xié)議是無狀態(tài)的唬党，也就是說鹃共，如果我們已經(jīng)認證了一個用戶，那么他下一次請求的時候驶拱，服務器不知道我是誰霜浴，我們就必須要再次認證。

? ? 身份認證（Authentication）是指通過一定的手段蓝纲，完成對用戶身份的確認阴孟。

目的：為了確認當前所聲稱為某種身份的用戶房铭，確實是所聲稱的用戶。

身份認證方案：

Session 認證機制（服務端渲染推薦）

JWT 認證機制（前后端分離推薦）

一温眉、Session 認證機制

原因：HTTP 協(xié)議的無狀態(tài)性缸匪。

? ? HTTP 協(xié)議的無狀態(tài)性，指的是客戶端的每次HTTP請求都是獨立的类溢，連續(xù)多個請求之間沒有直接的關系凌蔬，服務器不會主動保留每次HTTP請求的狀態(tài)。

解決：Cookie

? ? Cookie 是一段不超過 4KB 的小型文本數(shù)據(jù)闯冷，由一個名稱（Name）砂心、一個值（Value）和其它幾個用于控制 Cookie有效期、安全性蛇耀、使用范圍的可選屬性組成辩诞。

? ? 不同域名下的 Cookie 各自獨立，每當客戶端發(fā)起請求時纺涤，會自動把當前域名下所有未過期的 Cookie 一同發(fā)送到服務器译暂。

1.Cookie 工作原理：

? ? 在身份認證中，客戶端第一次請求服務器的時候撩炊，服務器通過響應頭的形式外永，向客戶端發(fā)送一個身份認證的 Cookie，客戶端會自動將 Cookie 保存在瀏覽器中拧咳。隨后伯顶，當客戶端瀏覽器每次請求服務器的時候，瀏覽器會自動將身份認證相關的 Cookie骆膝，通過請求頭的形式發(fā)送給服務器祭衩，服務器即可驗明客戶端的身份。

? ? 但是阅签，瀏覽器中提供了讀寫 Cookie 的 API掐暮，因此，存儲在瀏覽器中的 Cookie 很容易被偽造愉择，不具有安全性劫乱。千萬不要使用Cookie存儲重要且隱私的數(shù)據(jù)！故能夠在服務端驗證 Cookie 的 Session 重要性不言而喻锥涕。

二衷戈、JWT認證機制

? ? ? JWT屬于無狀態(tài)認證，支持集群化部署层坠，服務端可以任意遷移殖妇，減少服務端存儲session壓力,多平臺跨域。流程：用戶發(fā)送用戶名和密碼破花，服務端驗證成功后用戶信息加密并且編碼成一個 token給客戶端谦趣，客戶端每次請求攜帶token疲吸，服務端接收請求時會解密token再驗證token是否有效，獲取用戶登錄信息前鹅，再根據(jù)授權獲取受保護的資源摘悴。驗證token不通過的情況有很多，比如簽名不正確舰绘，無權限等

1蹂喻、JWT組成結構

　　jWT由三段字符串和兩個點號組成，如（xxxxxx.yyyyy.zzzzz）

一個jwt實際上就是一個字符串捂寿，它由三部分組成口四，頭部、載荷與簽名秦陋，這三個部分都是json格式蔓彩。

2、如何使用JWT驳概？

　　使用JWT之后赤嚼，當用戶使用它的認證信息登錄系統(tǒng)之后，會返回給用戶一個JWT抡句， 用戶只需要本地保存該 　token（通常使用localStorage探膊，也可以使用cookie）即可。

　　當用戶希望訪問一個受保護的路由或者資源的時候待榔，通常應該在 Authorization 頭部使用 Bearer 模式添加JWT，其內容格式：

Authorization: Bearer <token>

　　因為用戶的狀態(tài)在服務端內容中是不存儲的流济，所以這是一種無狀態(tài)的認證機制锐锣。服務端的保護路由將會檢查請求頭 Authorization 中的JWT信息，如果合法绳瘟，則允許用戶的行為雕憔。由于JWT是 自包含的，因此糖声，減少了需要查詢數(shù)據(jù)庫的需要斤彼。