我们知道，HTTP 是无状态的。也就是说，HTTP 请求方和响应方间无法维护状态，都是一次性的，它不知道前后的请求都发生了什么。 但有的场景下，我们需要维护状态。最典型的，一个用户登陆微博，发布、关注、评论，都应是在登录后的用户状态下的。 那解决办法是什么呢？::标记::。 这…

在本教程中，我们将完成一个关于如何在 Node.js 中 使用 JavaScript ，并结合 JWT 认证，实现基于角色（role based）授权/访问的简单例子。 /users/authenticate - 接受 body 中包含用户名密码的 HTTP POST 请求的公…

该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。 …

前后端未分离以前，页面都是通过后台来渲染的，能不能访问到页面直接由后台逻辑判断。前后端分离以后，页面的元素由页面本身来控制，所以页面间的路由是由前端来控制了。当然，仅有前端做权限控制是远远不够的，后台还需要对每个接口做验证。 为什么前端做权限控制是不够的呢？因为前端的路由控制仅…

session 同步问题，假设我们现有两个站点，分别为a.hello.com b.hello.com，如果要实现多站点共享 Cookie，基本就是把 Cookie 的 Domain 属性设置成 .hello.com，这样的话，我们在a.hello.com完成了登录，进入b.he…

注意，我们采用 Fetch API 替代了 XMLHttpRequest API，Fetch 方法提供了一种简单，合理的方式来跨网络异步获取资源。Fetch 还提供了单个逻辑位置来定义其他 HTTP 相关概念，例如 CORS 和 HTTP 的扩展。 CORS（跨域资源共享）是一…

JSON Web Token 是 rfc7519 出的一份标准，使用 JSON 来传递数据，用于判定用户是否登录状态。 jwt 之前，使用 session 来做用户认证。 传统登录的方式是使用 session + token。 token 是指在客户端使用 token 作为用户…

通常为了弄清楚一个概念，我们需要掌握十个概念。在判断 JWT (Json Web Token) 是否能代替 session 管理之前，我们要了解什么是 token，以及 access token 和 refresh token 的区别；了解什么是 OAuth，什么是 SSO，S…

在了解这三个概念之前我们先要了解HTTP是无状态的Web服务器，什么是无状态呢？就像上面夏洛特烦恼中经典的一幕对话一样，一次对话完成后下一次对话完全不知道上一次对话发生了什么。如果在Web服务器中只是用来管理静态文件还好说，对方是谁并不重要，把文件从磁盘中读取出来发出去即可。但…