session還是token

之前把session搞了個半懂，sails通過req.session.user = user來儲存用戶的會話，然后把session存放到redis數(shù)據(jù)庫里這樣就能實現(xiàn)驗證用戶登陸的，如果session過期，用戶數(shù)據(jù)則會消失，訪問就會失效，則需要用戶再次登陸。
然后今天才發(fā)現(xiàn)這樣只適合網(wǎng)站這樣的短時間存儲用戶登陸，因為大量用戶登陸會存儲大量的session使數(shù)據(jù)庫存放不下，所以APP這種需要長時間保存用戶登陸的方法不是通過session，而是通過token驗證。

JWT

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（(RFC 7519).該token被設(shè)計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

在驗證用戶登陸通過后，jwt通過加密生成一長串token，發(fā)送給前端，然后前端儲存后每次請求攜帶這個token與服務(wù)器進行校驗來判斷用戶狀態(tài)

1.服務(wù)端登陸成功后，生成一個token發(fā)送給前端

var jwt = require('jwt-simple');
var moment = require('moment')

var expires = moment().add(7, 'seconds').valueOf();
var token = jwt.encode({iss: user.id,exp: expires}, '這里填寫一個秘鑰');

return res.json({result: '登陸成功',user: user,token: token})

2.前端請求發(fā)送一個儲存的token
3.服務(wù)器中間件驗證token

module.exports = function(req, res, next) {

    var token = (req.body && req.body.token) || (req.query && req.query.token) || req.headers['x-access-token'];

    console.log(token)

    if(token) {

        var decoded = jwt.decode(token, '之前填寫一個秘鑰');
        console.log('decoded:' + JSON.stringify(decoded))

               //判斷token是否超時
        if(decoded.exp <= Date.now()) {
            console.log('token超時')
            return res.json({
                err: '訪問已超時'
            })
        }

        User.findOne({
            id: decoded.iss
        }).exec(function(err, user) {
            if(err) {
                return res.json(err)
            }

            console.log(user)
            req.user = user;
            return next()
        })

    } else {
        return res.json({
            err: '你沒有權(quán)限訪問'
        });
    }
};