在身份验证令牌的情况下,客户端发送凭据,接收令牌并在所有后续调用中使用它.服务器需要保存令牌以验证请求.
使用例如PHP会话,服务器返回客户端在每个请求中发送的会话UID.服务器需要保存会话.
在这两种情况下,服务器都需要保存状态,为什么前者被认为是无状态?
语义.通常通过为每个用户分配唯一ID并将该ID存储在客户端cookie中来实现会话.身份验证令牌完全相同 – 某种独特的每用户ID.浏览器会在每次请求时自动发送Cookie,并且每次请求都可以发送身份验证令牌,但通常只应在实际需要身份验证的请求上发送.
区别在于如何在服务器上处理这些令牌.会话ID用于从存储装载相应的会话(例如,文件,db记录,等等),并且会话数据将在请求之间保持.
身份验证令牌没有任何关联的会话文件.它更像是一个“我被允许在这里,这是证据”.
没有理由不能使用会话ID来实现身份验证系统.即使是简单的$_SESSION [‘logged_in’] = true也会将会话转变为身份验证系统.