Token取得：探索数字化时代的身份验证方式 验证token

程序员用什么头像比较成熟

把认证信息保存在客户端，关键点就是get='_blank'>trong>安全的验证，如果能解决认证信息的安全性问题，完全可以把认证信息保存在客户端，服务端完全无认证状态，这样的话服务端扩展起来要方便很多。关于信息的渗伏安全解决方案，现在普遍的做法就是签名机制，像微信公源茄众接口的验证方式就基于签名机制。签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。当用户成功登系统并成功验证有效之后，服务器会利用某种机制产生一个token字符串，这个token中可以包含很多信息，例如来源IP，过期时间，用户信息等， 把这个字符串下发给客户端，客户雹喊察端在之后的每次请求

中都携带着这个token，携带方式其实很自由，无论是cookie方式还是其他方式都可以，但是必须和服务端协商一致才可以。当然这里我不推荐cookie。当服务端收到请求，取出token进行验证（可以验证来源ip，过期时间等信息），如果合法则允许进行操作。基于token的验证方式也是现代互联网普通使用的认证方式，那它有什么优点

1.支持跨域访问，Cookie是不允许垮访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过HTTP头传输.

2.无状态:Token机制在服务端不需要存储session信息，因为Token自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息.

3.解耦 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成调用即可.

4.适用性更广：只要是支持http协议的客户端，就可以使用token认证。

5.服务端只需要验证token的安全，不必再去获取登录用户信息，因为用户的登录信息已经在token信息中。

6.基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库（.NET, Ruby, Java,Python,PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

程序员github头像

为了得到签名部分简念，你必须有编码过的header、编码过的payload、一个秘钥（这个秘钥只有服务端知道），签名算法是header中坦行指定的那个，然对拦信困它们签名即可。