Token驗證

　　最近了解下基於 Token 的身份驗證，跟大夥分享下。很多大型網站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統的身份驗證方法，Token 擴充套件性更強，也更安全點，非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”，我覺得挺好，意思就是，你拿著這個令牌，才能過一些關卡。

傳統的Token驗證

　　HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這裡我們把使用者看成是客戶端，客戶端使用使用者名稱還有密碼通過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。
　　解決的方法就是，當用戶請求登入的時候，如果沒有問題，我們在服務端生成一條記錄，這個記錄裡可以說明一下登入的使用者是誰，然後把這條記錄的 ID 號傳送給客戶端，客戶端收到以後把這個 ID 號儲存在 Cookie 裡，下次這個使用者再向服務端傳送請求的時候，可以帶著這個 Cookie ，這樣服務端會驗證一個這個 Cookie 裡的資訊，看看能不能在服務端這裡找到對應的記錄，如果可以，說明使用者已經通過了身份驗證，就把使用者請求的資料返回給客戶端。
　　上面說的就是 Session，我們需要在服務端儲存為登入的使用者生成的 Session ，這些 Session 可能會儲存在記憶體，磁碟，或者資料庫裡。我們可能需要在服務端定期的去清理過期的 Session 。
　　##基於 Token 的身份驗證方法
　　使用基於 Token 的身份驗證方法，在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的：
客戶端使用使用者名稱跟密碼請求登入
服務端收到請求，去驗證使用者名稱與密碼
驗證成功後，服務端會簽發一個 Token，再把這個 Token 傳送給客戶端
客戶端收到 Token 以後可以把它儲存起來，比如放在 Cookie 裡或者 Local Storage 裡
客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
服務端收到請求，然後去驗證客戶端請求裡面帶著的 Token，如果驗證成功，就向客戶端返回請求的資料

JWT+HA256驗證

實施 Token 驗證的方法挺多的，還有一些標準方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標準的 Token 有三個部分：
header
payload
signature
中間用點分隔開，並且都會使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
 

• 1

Header

header 部分主要是兩部分內容，一個是 Token 的型別，另一個是使用的演算法，比如下面型別就是 JWT，使用的演算法是 HS256，就是SHA-256，和md5一樣是不可逆的雜湊演算法。

{  "typ": "JWT",  "alg": "HS256"}

• 1
• 2
• 3
• 4

上面的內容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

• 1

Payload

Payload 裡面是 Token 的具體內容，這些內容裡面有一些是標準欄位，你也可以新增其它需要的內容。下面是標準欄位：
iss：Issuer，發行者
sub：Subject，主題
aud：Audience，觀眾
exp：Expiration time，過期時間
nbf：Not before
iat：Issued at，發行時間
jti：JWT ID
比如下面這個 Payload ，用到了 iss 發行人，還有 exp 過期時間。另外還有兩個自定義的欄位，一個是 name ，還有一個是 admin 。

{  "iss": "ninghao.net", "exp": "1438955445", "name": "wanghao", "admin": true}

• 1
• 2
• 3
• 4
• 5
• 6

使用 Base64 編碼以後就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

• 1

Signature

JWT 的最後一部分是 Signature ，這部分內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密演算法加密一下，加密的時候要放進去一個 Secret ，這個相當於是一個密碼，這個密碼祕密地儲存在服務端。

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); HMACSHA256(encodedString, 'secret');

• 1
• 2

處理完成以後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

• 1

最後這個在服務端生成並且要傳送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

• 1

客戶端收到這個 Token 以後把它儲存下來，下會向服務端傳送請求的時候就帶著這個 Token 。服務端收到這個 Token ，然後進行驗證，通過以後就會返回給客戶端想要的資源。驗證的過程就是
根據傳過來的token再生成一下第三部分Signature，然後兩個比對一下，一致就驗證通過。