廢話不多說,直接上圖吧
其實上面用到的jwt只是一個生成token 的作用,並沒有用到jwt優化資源的作用(但是安全性就是比較大的問題),當然你也可以自行生成token也是可以的,具體的代碼也就不寫了,網上一搜一大堆,稍微說下token相對於傳統的session、cookie的優勢吧
- 支持跨域訪問,將token置於請求頭中,而cookie是不支持跨域訪問的;
- 無狀態化,服務端無需存儲token,只需要驗證token信息是否正確即可,而session需要在服務端存儲,一般是通過cookie中的sessionID在服務端查找對應的session;
- 無需綁定到一個特殊的身份驗證方案(傳統的用戶名密碼登陸),只需要生成的token是符合我們預期設定的即可;
- 更適用於移動端(Android,iOS,小程序等等),像這種原生平臺不支持cookie,比如說微信小程序,每一次請求都是一次會話,當然我們可以每次去手動爲他添加cookie;
- 避免CSRF跨站僞造攻擊,還是因爲不依賴cookie;