现代前后端分离架构一般使用token保存登录态,流程也比较简单:后端验证账号和密码后,向前端返回一个token,前端可将token保存在cookie或localStorage中,前端发起请求需要通过HTTP头参数(通常名为Authorization)将token传递给后端,后端拿到token验证其合法性,若合法则正常响应请求,否则提示未登录。
生成token常用方式有两种:
(1)、将用户UID加密,把密文作为token;
(2)、生成随机字符串作为token,将token和用户UID关联,以键值对方式保存在服务器端。
一般推荐使用第一种方式,JWT(JSON Web Token)在实现上和第一种方式很像,只是JWT并没有对数据进行加密,而是采用签名验证的方式保证数据合法性,并且加入了更多内容(如JWT生效时间、JWT失效时间)使得token应用起来更加灵活。