rest - 移动应用 + REST API 身份验证

有多种令牌身份验证方案，但如果您正在寻找行业标准，那么 JWT（JSON Web 令牌）是您的最佳选择。以下是该过程通常进行的方式：

1. 客户端将他的凭据（例如用户名和密码）发送到服务器。
2. 服务器验证凭据是否正确，生成 JWT 并将其返回给客户端。客户端将令牌保存在例如 localStorage 中。
3. 对于每个后续请求，客户端会将 JWT 作为请求的一部分附加（通常在“授权”标头中）。
4. 服务器将能够解码 JWT 并决定客户端是否应该有权访问所请求的资源。

现在，JWT 的一些有趣特性来自于其中编码数据这一事实。有些人人都可以解码，有些只有服务器才能解码。

因此，例如，您可以在 JWT 中对用户的 id 和个人资料图片进行编码，以便客户端可以使用其中的数据，而不必向服务器发出另一个请求来获取他的个人资料。

JWT 嵌入了有关过期的信息。服务器可以设置过期时间。

JWT 的另一个很酷的事情是，如果更改它们是无效的。想象一下，你偷了某人的令牌，但它已经过期了。您尝试将令牌内的过期信息更改为将来的某个时间，并将其发送到服务器。服务器将认为该令牌无效，因为内容与附加的签名不匹配，并且只能由服务器生成有效的签名。