session & token
驗證機制早期是用 session,server 這裡會發一個 session 給 client,並在資料庫記錄這個 session 屬於誰,而且每個裝置都會記一組 session,這會造成 server 這邊需要記錄大量的資料。
後來發展出 token,client 這邊會收到 server 發的 token,而 server 這邊只做一個解碼器,用來驗證 client 的 token,這樣 server 這邊就不用記一堆資料了,是不是很聰明啊?
Json web token (JWT)
結構
JWT 的結構長這樣,解碼後可獲得有意義的資訊
sdfghjk.ertyuil.zxcvbn