session cookie token

1. 早期web只是文檔瀏覽，服務器不需要記錄客戶端信息，每次請求都是一個新的http。

2. 隨着交互式網絡興起，如在線購物網站，登陸網站，服務器需要把每個客戶端區分開來。因爲http是無在狀態的。所以想出的辦法就是給大家發一個會話標識(session id),說白了就是一個隨機的字串，每個人收到的都不一樣， 每次大家向我發起HTTP請求的時候，把這個字符串給一併捎過來， 這樣我就能區分開誰是誰了

3. 第一次創建Session的時候，服務端會在HTTP協議中告訴客戶端，需要在 Cookie 裏面記錄一個Session ID，以後每次請求把這個會話ID發送到服務器，我就知道你是誰了。

4. session cookie程序都是通過在服務端存儲的登錄信息來辨別請求的

5. 隨着Web，應用程序，已經移動端的興起，這種驗證的方式逐漸暴露出了問題。尤其是在可擴展性方面。

6. token驗證過程

   基於Token的身份驗證的過程如下:

    1.用戶通過用戶名和密碼發送請求。
    
    2.程序驗證。
    
    3.程序返回一個簽名的token 給客戶端。
    
    4.客戶端儲存token,並且每次用於每次發送請求。
    
    5.服務端驗證token並返回數據。