最近研究了下基于token的身份驗證，并將這種機制整合在個人項目中?，F在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式，token確實有更好的擴展性與安全性。

傳統的session+cookie身份驗證

由于HTTP是無狀態的，它并不記錄用戶的身份。用戶將賬號與密碼發送給服務器后，后臺通過校驗，但是并沒有記錄狀態，于是下一次用戶的請求仍然需要校驗身份。為了解決這一問題，需要在服務端生成一條包含用戶身份的記錄，也就是session，再將這條記錄發送給用戶并存儲在用戶本地，即cookie。接下來用戶的請求都會帶上這條cookie，若客戶端的cookie與服務端的session能對應上，則說明用戶身份驗證通過。

token身份校驗

流程大致如下：

對比傳統的校驗方式，token校驗有如下優勢：

下面介紹一下利用node+jwt(jwt教程)搭建簡易的token身份校驗

示例

當用戶第一次登錄時，提交賬號與密碼至服務器，服務器校驗通過，則生成對應的token，代碼如下：

const fs = require('fs');const path = require('path');const jwt = require('jsonwebtoken');//生成token的方法function generateToken(data){  let created = Math.floor(Date.now() / 1000);  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰  let token = jwt.sign({    data,    exp: created + 3600 * 24  }, cert, {algorithm: 'RS256'});  return token;}//登錄接口router.post('/oa/login', async (ctx, next) => {  let data = ctx.request.body；  let {name, password} = data;  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];  await db.query(sql, value).then(res => {    if (res && res.length > 0) {      let val = res[0];      let uid = val['uid'];      let token = generateToken({uid});      ctx.body = {        ...Tips[0], data: {token}      }    } else {      ctx.body = Tips[1006];    }  }).catch(e => {    ctx.body = Tips[1002];  });});

用戶通過校驗將獲取到的token存放在本地：

store.set('loginedtoken',token);//store為插件

之后客戶端請求需要驗證身份的接口，都會將token放在請求頭里傳遞給服務端：