认证方式

基于Cookie和Session的认证方式

基于Cookie和Session的认证是传统的Web应用认证机制。它依赖于HTTP协议无状态的特性，在客户端（浏览器）和服务器之间保持用户的状态。

工作原理

用户登录：用户通过输入用户名和密码来登录Web应用。
验证凭据：服务器验证用户提交的凭据。如果凭据有效，服务器将创建一个会话（Session），该会话包含用户的登录信息和其他必要的状态信息。
发送Cookie：服务器生成一个唯一的会话ID，并将其存储在会话存储中（如内存、数据库或其他存储系统）。然后，服务器通过设置HTTP响应中的Set-Cookie头部，将此会话ID发送回客户端，保存在Cookie中。
客户端存储Cookie：客户端（浏览器）接收到Cookie后，会将它保存起来，并在随后对同一服务器的每个请求中自动发送这个Cookie。
服务器识别用户：每当服务器收到来自客户端的请求时，它会查找请求中的Cookie，提取会话ID，并使用此ID查找存储的会话信息。如果找到会话，服务器就能知道是哪个用户发出的请求，并根据会话中保存的状态进行处理。

举例假设有一个简单的Web登录流程：

用户访问登录页面（/login），输入用户名和密码。
服务器验证用户凭据。如果凭据有效，服务器创建一个Session，生成一个会话ID，并将其作为Cookie发送回用户。
用户收到Cookie后，每次访问Web应用的其他页面时，都会在请求中携带这个Cookie。
服务器接收到请求，从Cookie中提取会话ID，查找对应的Session，并识别出用户，根据用户的权限显示相应的内容。

缺点

1.服务端需要存储Session，并且由于Session经常需要快速查找，通常存储再内存或内存数据库中，同时在线用户较多时需要占用大量的服务器资源。
2.当需要扩展时，创建Session的服务器可能不是验证Session的服务器，所以还需要将所有Session单独存储并共享。
3.在跨域环境下要进行兼容性处理。否则难以防范CSRF攻击。

JWT方式

什么是Token？

在Web应用中，Token是一个代表系统中某个实体（通常是用户会话）的加密字符串，用于在客户端和服务器间安全传递信息。Token可以存储所需的任何数据，但为了减少客户端到服务器的往返次数，它通常包含足够的信息来标识用户或会话，以及签名或其他验证数据，以确保Token的真实性和完整性。

基于Token的会话管理

基于Token的会话管理是一种服务器无状态的认证机制。传统的基于会话的认证会在服务器上存储用户的登录信息，而基于Token的认证则不会在服务器上保存会话信息。当用户使用他们的凭证登录时，服务器会创建一个Token（有时候这个Token会有一个过期时间），然后把它发回给用户，用户将Token存储在客户端，并随后的每个请求一起发送。服务器接收到请求后，会验证Token的签名，确认Token有效，然后提取Token中的用户信息，进行权限验证，而不需要查询数据库或保存会话信息。

基于Token的认证的优势

跨平台和跨域认证：Token可以在不同类型的客户端（如Web应用、移动应用）之间共享和使用。
无状态和可扩展性：服务器不需要保存会话信息，使得应用更易于扩展。
安全性：由于Token是加密的，因此安全性较高，特别是在使用HTTPS时。

JWT方式

JWT（JSON Web Tokens）是一种开放标准（RFC 7519），用于安全地在两个参与方之间传递信息作为JSON对象。由于信息可以被验证和信任，因为它是数字签名的（使用HMAC算法或RSA公钥/私钥对进行签名），JWT广泛用于Web应用中的授权和信息交换。

简单来说就是一种基于JSON格式的Token。知识定义了一种基于Token的会话管理的规则，涵盖Token需要包含的标准内容和Token的生成过程，特别适用于分布式站点的单点登录场景

一个JWT实际上是一个被编码的字符串，由三部分组成，用点（.）分隔：

Header（头部）：通常包含两部分，token类型（即"JWT"）和所使用的签名算法（如HMAC SHA256或RSA）。
Payload（负载）：包含所要传递的声明。声明是关于实体（通常是用户）和其他数据的声明。可以包含多种预定义的声明（如发行人、过期时间等）和自定义声明。
Signature（签名）：对前两部分的签名，用于验证消息在传递过程中未被篡改。

JWT是实现基于Token认证的一种非常流行的方式，由于其紧凑和自包含的特性，使其成为Web服务认证和信息交换的一个优秀选择。

点分隔三部分一次代表头部，负载，签名。
头部和负载以JSON形式存在，这就是JWT中的Json，三部分的内容都分别单独经过了Base64编码，以.拼接成一个JWT Token。


payload就是指定里面装了什么东西。
注意JWT默认是不加密的，任何人都可以读到，所以不要把密码信息防止这个部分，这个JSON对象也要使用Base64URL算法转成字符串。最好存帮助你去鉴定你是什么角色，这样的数据。

Signature
Signature是对前两部分的签名，确保JWT在传输过程中没有被篡改。
第一个内容就是signature如何生成：
从下面就可以看出来生成的过程

1.先将header经过Base64编码，payload也是经过Base64编码，然后两个字符串用.进行拼接成一个字符串。
2.然后使用Header中指定的算法对这个字符串进行加密，在加密的过程中还需要使用到一个只有服务器知道的密钥（对于HMAC)或私钥(对于RSA算法）
3.最后做完这些就得到了Signature。

工作过程：

当服务器接收到一个JWT时，会使用统一的方法（相同的Header、Payload、算法和秘钥）对收到的JWT的前两部分（Header和Payload）进行签名，然后将这个新生成的签名与JWT中的Signature进行比对。如果两者相同，说明这个JWT是合法的，且数据没有被篡改；如果不同，则验证失败，数据可能被篡改。

我再举个实际的例子：
假设有这样一个JWT，它由三部分组成，Header、Payload和Signature，用点.连接。

生成JWT的过程：
Header (Base64编码后): eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
解码后: {“alg”:“HS256”,“typ”:“JWT”}
Payload (Base64编码后): eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
解码后: {“sub”:“1234567890”,“name”:“John Doe”,“admin”:true}
Signature: 使用Header里声明的HS256算法和一个只有服务器知道的秘钥secret，对{Base64编码的Header}.{Base64编码的Payload}进行加密得到。
服务器生成了JWT发给了用户。

验证JWT的过程：
当用户在之后的请求中返回这个JWT时，服务器需要验证这个JWT是否有效。

服务器首先从JWT中分离出Header和Payload。
然后，服务器使用存储的相同的秘钥secret和JWT Header中声明的相同算法HS256，对{Base64编码的Header}.{Base64编码的Payload}这部分再次进行加密。
加密后，服务器得到了一个新的Signature。
现在，服务器有了两个Signature：

用户发送过来的JWT里的Signature。
服务器自己刚刚生成的Signature。
如果这两个Signature完全相同，那么就说明用户发送过来的JWT在传输过程中没有被篡改，因为只有使用了相同的秘钥和数据才能生成相同的Signature。服务器就认为这个JWT是有效的，用户的请求是合法的。

举个具体的例子：

假设用户发送过来的JWT的Signature是S1。

服务器使用秘钥secret对用户JWT的Header和Payload部分进行加密，假设得到的新Signature是S2。

如果S1等于S2，说明JWT有效，请求合法。
如果S1不等于S2，说明JWT可能在传输过程中被篡改，服务器将拒绝这个请求。
通过这种方式，JWT的Signature保证了传输数据的完整性和安全性。

JWT优缺点

优点：就是Token的优点（最大的优势就是服务端不需要存储Session）
缺点： 由于 有效期存储在Token中，JWT Token一旦签发，就会在有效期内一直可用，无法在服务端废止，当用户进行登出操作，只能依赖客户端删除掉本地的JWT Token，如果需要禁用用户，单词使用JWT就无法做到。（所以通常TOKEN的过期时间都设置的比较短）

如果想实现禁用用户，那可以使用一个黑名单，用之前检查一下，但是这样背离了我们使用Token的初衷，我们想的就是不要在服务端存储数据。这只是一个思路，不是说服务端不让你存储。

实践

go语言要使用jwt-go来实现我们生成JWT和解析JWT的功能。