接口鉴权之cookie，session和token

什么是接口鉴权？

鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目，都会有登录模块，而只要有登录模块，他有一些功能，肯定是必须要登录之后才能完成了。比如你在淘宝下单的时候，肯定是要登录的。你每次去做下单的时候，他其实每一次都会去检测你这个用户的信息，是否有效的。所以鉴权是接口每次被调用的时候，都需要做一个事情。而我们需要写一些代码或者是通过一些工具，postman或者是jmeter做一些设置去完成鉴权。利用鉴权的特点，把他需要的东西传给他，从而模拟鉴权。

现在主流的就有两种技术一种是session,一种是token。

而现在大部分都采用token。不过小部分采用session。在这两个技术里面呢，他都可能会用到cookie这个技术。可以理解为cookie为他们两种技术的基础。

为什么会有cookie还有session还有token这种技术的存在?

这些技术其实都是http协议下的一种技术。http协议是一种无状态协议，就是说我的本次请求和上一次请求是没有任何关联的，无法去共享信息。举个栗子，我们用什么爱奇艺或者qq视频追剧的时候，比方说这个剧追到第十集了，那你下次在打开的时候你的爱奇艺肯定会告诉你，你上次看到的历史记录问你是不是要继续从第10集去看。那这种称之为有状态，也就是说他会把客户端上一次做的事情把它记录下来。那么无状态是这一次看到第10集了，下次进来了还是从第1集开始，就不会记录你的任何信息。就是说如果一个视频网站能够记录你观看到第几集，你可以理解为这种形式就是有状态。那如果不能记住，他就是无状态。

重点是服务器要花时间去帮你处理这个信息，因为记录的时候服务器会记住你这个用户的历史记录。因为有100个人可能同时追这个剧。那服务器就要记住100份。所以http协议在研发初期，就把它定义成无状态的。这样效率会高很多。随着这个互联网的发展，对于有状态的需求就比较大了。所以会引入一些技术去解决。公司里面研发的产品也好，还是我们平常用到的这些应用，大部分都是http协议的。比如说你的淘宝，京东啊，都是http协议。只不过有些会以加密的形式-https，但底层仍是http。京东淘宝要收集你的浏览记录，百度贴吧登录之后去发贴，里面也会有你浏览帖子的记录。那这些东西，其实都是由这三个技术实现。那么在这里面cookie是最简单也是最方便的一种技术啊。

cookie是什么呢？

随便打开一个网站f12进入检查，谷歌是右键检查，在application这里面可以看到这个cookie。

在这些存储信息上面那些都是最近几年h5之后才出来的技术，之前浏览器只能存储cookie, cookie的图标是一个小饼干。打开看一下。

每个域名有不同的cookie,每一个网站都会有自己的cookie。Name是cookie的名字，value是cookie的值，Expires/Max-age是cookie的失效时间，N/A是无设置。cookie其实就是一个文件，存着以上数据。

cookie存这些数据在本地有什么用呢？

举一个很简单的例子,再在使用京东或者淘宝的时候。你并没有登录但是你的用户名字会显示在浏览器右上角，但是当你要下单的时候，他会提示你要重新登陆。像这样用户名之类的非敏感数据就存在cookie里面。金额或者密码不能存，因为它直接就存在一个值。

cookie的优点是什么呢？

优点就是非常轻便，非常小。你把它存进来之后对于服务端是没有任何压力的，因为是存在你的浏览器里面。也可以设置失效时间，生效时间之类的。

那么session是什么呢？

Session就涉及到鉴权了。Session需要跟服务端交互才会产生。它从称之为会话。

客户端指的就是浏览器，我们在浏览器输入用户名和密码，你就把这个信息传到服务器，如果验证通过，就会生成一个sessionId。sessionId存在服务器里面。服务端再将sessionId通过cookie回写到客户端。回写成功后，下一次访问服务器的时候就不必再使用密码登录。

所以cookie这个技术是由后台去生成的,取决于这个后台用的语言，不同语言的实现逻辑是一样的。回写之后每一次请求cookie都自动携带了。

Cookie和session的区别是什么？

客户端和服务端都能生成cookie，它用来存放一些不敏感的数据，数据类型只能是字符串（json）.除了服务端之外，服务端生成session，客户端是不能生成session的。Session的信息是存放在服务端的，可以存放任意数据，java中session中可以存放任何数据类型。

Token技术的功能是什么？

token主要是解决session的性能问题。客户端登录成功之后session存在内存。一台服务器的内存也就那么大，内存总有一天会占满，而你内存越来越满，服务器的性能就越低。那怎么去解决的呢？就是这个token。

用户名和密码去请求，完成之后会形成token，但是token不存储在服务器，随后直接把token返回给客户端。一个token分为三个部分，第一部分是Header,第二部分是用户相关信息，第三个部分是签名，相当于一把锁，前两个部分通过HMAC-SHA256算法生成一把钥匙（密钥）。

我们只需要判断钥匙和锁是否匹配即可，但是我们不会直接拿密钥和签名对比，而是重新计算出一个签名（锁），比较两把锁是否相同。数据（Header，用户信息）是一致的，算法也没有变化，结果就不会变，如果数据变化（被篡改）就不会验证通过。

Token和session的区别：

Token其实也是一个字符串，它最大的一个特点就是不会存在服务端，还有一个特点就是不再依赖于cookie的形式，它可以是请求头或者是请求体的方式，也就是Session依赖于cookie，由服务器生成，存储，验证，以cookie的方式存在于客户端，客户端以同样方式发送给服务端，session有状态。

怎么使用token或者session做鉴权做鉴权？

1登陆之后，获取session或者token字符串，将它们携带回客户端。

2请求需要鉴权的接口时，携带对应的session和token。