1. 為什麼要有session的出現？ 答：是由於網路中http協議造成的，因為http本身是無狀態協議，這樣，無法確定你的本次請求和上次請求是不是你傳送的。如果要進行類似論壇登陸相關的操作，就實現不了了。

2. session生成方式？ 答：瀏覽器第一次訪問伺服器，伺服器會建立一個session，然後同時為該session生成一個唯一的會話的key,也就是sessionid，然後，將sessionid及對應的session分別作為key和value儲存到快取中，也可以持久化到資料庫中，然後伺服器再把sessionid，以cookie的形式傳送給客戶端。這樣瀏覽器下次再訪問時，會直接帶著cookie中的sessionid。然後伺服器根據sessionid找到對應的session進行匹配； 還有一種是瀏覽器禁用了cookie或不支援cookie，這種可以通過URL重寫的方式發到伺服器；

簡單來講，使用者訪問的時候說他自己是張三，他騙你怎麼辦？ 那就在伺服器端儲存張三的資訊，給他一個id，讓他下次用id訪問。  

3. 為什麼會有token的出現？ 答：首先，session的儲存是需要空間的，其次，session的傳遞一般都是通過cookie來傳遞的，或者url重寫的方式；而token在伺服器是可以不需要儲存使用者的資訊的，而token的傳遞方式也不限於cookie傳遞，當然，token也是可以儲存起來的；

4. token的生成方式？ 答：瀏覽器第一次訪問伺服器，根據傳過來的唯一標識userId，服務端會通過一些演算法，如常用的HMAC-SHA256演算法，然後加一個金鑰，生成一個token，然後通過BASE64編碼一下之後將這個token傳送給客戶端；客戶端將token儲存起來，下次請求時，帶著token，伺服器收到請求後，然後會用相同的演算法和金鑰去驗證token，如果通過，執行業務操作，不通過，返回不通過資訊；

5. token和session的區別？ token和session其實都是為了身份驗證，session一般翻譯為會話，而token更多的時候是翻譯為令牌； session伺服器會儲存一份，可能儲存到快取，檔案，資料庫；同樣，session和token都是有過期時間一說，都需要去管理過期時間； 其實token與session的問題是一種時間與空間的博弈問題，session是空間換時間，而token是時間換空間。兩者的選擇要看具體情況而定。

雖然確實都是“客戶端記錄，每次訪問攜帶”，但 token 很容易設計為自包含的，也就是說，後端不需要記錄什麼東西，每次一個無狀態請求，每次解密驗證，每次當場得出合法 /非法的結論。這一切判斷依據，除了固化在 CS 兩端的一些邏輯之外，整個資訊是自包含的。這才是真正的無狀態。  而 sessionid ，一般都是一段隨機字串，需要到後端去檢索 id 的有效性。萬一伺服器重啟導致記憶體裡的 session 沒了呢？萬一 redis 伺服器掛了呢？  方案 A ：我發給你一張身份證，但只是一張寫著身份證號碼的紙片。你每次來辦事，我去後臺查一下你的 id 是不是有效。  方案 B ：我發給你一張加密的身份證，以後你只要出示這張卡片，我就知道你一定是自己人。  就這麼個差別。

token的使用可以參考：json web token(JWT);

參考自：https://www.v2ex.com/t/80003

https://www.v2ex.com/t/276207

https://ninghao.net/blog/2834

本文轉載自：https://www.cnblogs.com/xiaozhang2014/p/7750200.html

什麼是token

token的意思是“令牌”，是服務端生成的一串字串，作為客戶端進行請求的一個標識。

當用戶第一次登入後，伺服器生成一個token並將此token返回給客戶端，以後客戶端只需帶上這個token前來請求資料即可，無需再次帶上使用者名稱和密碼。

簡單token的組成；uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign（簽名，token的前幾位以雜湊演算法壓縮成的一定長度的十六進位制字串。為防止token洩露）。

身份認證概述

由於HTTP是一種沒有狀態的協議，它並不知道是誰訪問了我們的應用。這裡把使用者看成是客戶端，客戶端使用使用者名稱還有密碼通過了身份驗證，不過下次這個客戶端再發送請求時候，還得再驗證一下。

通用的解決方法就是，當用戶請求登入的時候，如果沒有問題，在服務端生成一條記錄，在這個記錄裡可以說明登入的使用者是誰，然後把這條記錄的id傳送給客戶端，客戶端收到以後把這個id儲存在cookie裡，下次該使用者再次向服務端傳送請求的時候，可以帶上這個cookie，這樣服務端會驗證一下cookie裡的資訊，看能不能在服務端這裡找到對應的記錄，如果可以，說明使用者已經通過了身份驗證，就把使用者請求的資料返回給客戶端。

以上所描述的過程就是利用session，那個id值就是sessionid。我們需要在服務端儲存為使用者生成的session，這些session會儲存在記憶體，磁碟，或者資料庫。

基於token機制的身份認證

使用token機制的身份驗證方法，在伺服器端不需要儲存使用者的登入記錄。大概的流程：

客戶端使用使用者名稱和密碼請求登入。服務端收到請求，驗證使用者名稱和密碼。驗證成功後，服務端會生成一個token，然後把這個token傳送給客戶端。客戶端收到token後把它儲存起來，可以放在cookie或者Local Storage（本地儲存）裡。客戶端每次向服務端傳送請求的時候都需要帶上服務端發給的token。服務端收到請求，然後去驗證客戶端請求裡面帶著token，如果驗證成功，就向客戶端返回請求的資料。

利用token機制進行登入認證，可以有以下方式：

a.用裝置mac地址作為token

客戶端：客戶端在登入時獲取裝置的mac地址，將其作為引數傳遞到服務端

服務端：服務端接收到該引數後，便用一個變數來接收，同時將其作為token儲存在資料庫，並將該token設定到session中。客戶端每次請求的時候都要統一攔截，將客戶端傳遞的token和伺服器端session中的token進行對比，相同則登入成功，不同則拒絕。

此方式客戶端和服務端統一了唯一的標識，並且保證每一個裝置擁有唯一的標識。缺點是伺服器端需要儲存mac地址；優點是客戶端無需重新登入，只要登入一次以後一直可以使用，對於超時的問題由服務端進行處理。

b.用sessionid作為token

客戶端：客戶端攜帶使用者名稱和密碼登入

服務端：接收到使用者名稱和密碼後進行校驗，正確就將本地獲取的sessionid作為token返回給客戶端，客戶端以後只需帶上請求的資料即可。

此方式的優點是方便，不用儲存資料，缺點就是當session過期時，客戶端必須重新登入才能請求資料。

當然，對於一些保密性較高的應用，可以採取兩種方式結合的方式，將裝置mac地址與使用者名稱密碼同時作為token進行認證。

APP利用token機制進行身份認證

使用者在登入APP時，APP端會發送加密的使用者名稱和密碼到伺服器，伺服器驗證使用者名稱和密碼，如果驗證成功，就會生成相應位數的字元產作為token儲存到伺服器中，並且將該token返回給APP端。

以後APP再次請求時，凡是需要驗證的地方都要帶上該token，然後伺服器端驗證token，成功返回所需要的結果，失敗返回錯誤資訊，讓使用者重新登入。其中，伺服器上會給token設定一個有效期，每次APP請求的時候都驗證token和有效期。

token的儲存

token可以存到資料庫中，但是有可能查詢token的時間會過長導致token丟失（其實token丟失了再重新認證一個就好，但是別丟太頻繁，別讓使用者沒事兒就去認證）。

為了避免查詢時間過長，可以將token放到記憶體中。這樣查詢速度絕對就不是問題了，也不用太擔心佔據記憶體，就算token是一個32位的字串，應用的使用者量在百萬級或者千萬級，也是佔不了多少記憶體的。

token的加密

token是很容易洩露的，如果不進行加密處理，很容易被惡意拷貝並用來登入。加密的方式一般有：

在儲存的時候把token進行對稱加密儲存，用到的時候再解密。文章最開始提到的簽名sign：將請求URL、時間戳、token三者合併，通過演算法進行加密處理。

最好是兩種方式結合使用。

還有一點，在網路層面上token使用明文傳輸的話是非常危險的，所以一定要使用HTTPS協議。

參考：http://baijiahao.baidu.com/s?id=1586852093066659408&wfr=spider&for=pc