鉴权

<font color="#16884a">服务端开销大</font>: <br>每个用户经过我们的应用认证之后，我们的应用都要在服务端做一次记录，以方便用户下次请求的鉴别，<br><b>通常而言session都是保存在内存中，而随着认证用户的增多，服务端的开销会明显增大</b>。<br><br><font color="#16884a">扩展性有限</font>: <br>用户认证之后，服务端做认证记录，如果认证的记录被保存在内存中的话，<br>这意味着<b>用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源</b>，<br>这样<b>在分布式的应用上，限制了负载均衡器的能力，</b>这<b>也意味着限制了应用的扩展能力</b>。<br><br><font color="#16884a">CSRF攻击威胁</font>: <br>因为是基于cookie来进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。<br>

<ol><li>用户使用用户名密码来请求服务器<br></li><li>服务器进行验证用户的信息<br></li><li>服务器通过验证发送给用户一个token<br></li><li>客户端存储token，并在每次请求时附送上这个token值<br></li><li>服务端验证token值，并返回数据<br></li></ol>

缺陷是 token 只能当作身份认证凭证，但是 JWT 还可以传输其他必要数据 ？？？

JWT<b>由三段信息构成</b>，将这三段信息文本<b>用.链接</b>一起就构成了Jwt字符串。<br>例如:<br>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ<br>

三部分

一般是<font color="#16884a">在请求头里加入Authorization，并加上Bearer标注</font>：<br><br>fetch('api/user/1', {<br> headers: {<br>&nbsp; <font color="#924517">'Authorization': 'Bearer ' + token</font><br> }<br>})<br>

<ol><li>因为<b>json的通用性，所以JWT可以进行跨语言支持</b>，像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。<br></li><li>因为有了payload部分，所以JWT可以在自身<b>存储一些其他业务逻辑所必要的非敏感信息</b>。<br></li><li>便于传输，jwt的构成非常简单，<b>字节占用很小</b>，所以它是非常<b>便于传输</b>的。<br></li><li>它<b>不需要在服务端保存会话信息, 易于应用的扩展</b><br></li></ol>

<ol><li><b>服务器不保存会话状态</b>，所以在使用期间没有取消令牌或更改令牌的权限。也就是说，<b>一旦JWT签发，在有效期内将会一直有效</b>。<br></li><li>JWT本身包含认证信息，因此<b>一旦信息泄露，任何人都可以获得令牌的所有权限</b>。为了减少盗用，JWT的<b>有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证</b>。<br></li><li>为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是<b>使用加密的HTTPS协议</b>进行传输。<br></li></ol>

（1）<b>令牌是短期的，到期会自动失效</b><br>（2）<b>令牌可以被数据所有者撤销，会立即失效</b>。<br>（3）<b>令牌有权限范围（scope）</b>，<b>只读令牌就比读写令牌更安全</b>。<br>