身份认证

什么是身份认证

身份认证(Authentication)又称"身份验证"，"鉴权"，是指通过一定手段，完成对用户身份的确认。

对于服务端渲染和前后端分离这两种开发模式来说，分别有着不同的身份认证方案：

了解HTTP协议的无状态性是进一步学习Session认证机制的必要前提。 HTTP协议的无状态性，指的是客户端的每次HTTP请求都是独立的，连续多个请求之间没有直接关系，服务器不会主动保留每次HTTP请求的状态

对于超市来说，为了方便收银员在进行结算时给VIP用户打折，超市可以为每个用户发放会员卡。

注意：现实生活中的会员卡身份认证方式，在web开发中的专业术语叫做Cookie

Cookie是存储在用户浏览器中的一段不超过4KB的字符串。它由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。

不同域名下的Cookie各自独立，每当客户端发起请求时，会自动把当前域名下 所有未过期的Cookie一同发送给服务器

客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的Cookie，客户端会自动将Cookie保存在浏览器中。
随后，当客户端每次请求服务器的时候，浏览器会自动将身份认证相关的Cookie，通过请求头的形式发送给服务器，服务器即可验明客户端的身份

由于cookie是存储在浏览器中的，而且浏览器也提供了读写Cookie的API，因此，Cookie很容易被伪造，不具有安全性。因此不建议服务器将重要的隐私数据，通过Cookie的形式发送给浏览器。

为了防止客户伪造会员卡，收银员在拿到客户出示的会员卡之后，可以在收银机上进行刷卡认证。只有收银机确认存在的会员卡，才能被正常使用。

Session认证机制需要配合Cookie才能实现。由于Cookie默认不支持跨域访问，所以，当设计到前端跨域请求后端接口的时候，需要做很多额外的配置，才能实现跨域Session认证。