从原理上讲，登录很简单，就是输入账号密码和后台的数据库进行匹配，匹配上了就表示登录了，否则没有登录。这里主要总结的问题，用户登录之后，服务器端怎么确定你登录了，认定身份这个问题。

   在刚学会编程人的验证里面，用户+密码登录后，直接返回一个标记islogin=1，这样就表示用户登录了，然后将islogin储存到cookie里面，直接读取cookie,如果直接读取到了cookie里面的字段，则用户登录，否则用户就没有登录。匪夷所思的确认登录的方法，确实在之前的一套源码里面出现过。居然使用cookie来识别用户是否登录到进入了后台，如果登录，就继续走真正登录了的逻辑。对于使用cookie识别用户登录的方法，直接导致admin的登录是摆设，只要将cookie里面的登录uid改成1（也就是管理员） islogin =1 这样就表示用户管理员登录了。
       这里涉及到一个对cookie很浅显的概念，Cookie是一种小型的文本文件，由网站创建并存储在用户的计算机或移动设备上。当用户访问网站时，网站的服务器会发送Cookie到用户的浏览器，浏览器随后会将Cookie保存在本地。这样，每当用户再次访问该网站时，浏览器都会将保存的Cookie发送回网站，使得网站能够识别用户并记住用户的浏览历史、偏好设置等信息。也就是cookie是登陆者存档在本地的信息，是可以被本地用户进行更改的。显然登录不能只依靠客户端的cookie来识别登录，极少数情况下可以使用，比如自己一个人使用的系统，懒得每次都登陆，直接使用cookie里面的存储值。

   大部分的登录，依赖的是客户端一个cookie,服务器端一个session,每次请求，服务器端都是获取该cookie字段进行检测。可以拿一个前面基础的fastadmin网站作为对比，一般php网站有个phpseed参数，复制一个登录账号的phpseed到另外一个浏览器，然后复制之前的登录的URL，可以神奇的发现，该网站在另一个浏览器里面也登录了，第一次实现这个效果的时候，感觉到非常吃惊。其实原理很简单，因为服务器端基本只会验证这个PHPSESSID，你的代码里面没有验证服务器/来源/上下文之类的，依靠PHPSESSID的值进行唯一性认证，自然会将你当成登录了看待。也就是说，绝大部分的小网站，已经可以依赖PHPSESSID来识别用户是否已经登录，这个唯一标志是服务器和客户端每次建立连接的时候，返回给客户端的。

        正是基于这个特点，如果一个人想登录你的后台，只要获取到了你的PHPSESSID即可。但是PHPSEEID认证有个巨大的缺陷，它在服务器端是有生存周期的，本质其实是服务器保存了一份自己的COOKIE（我们称之为session机制），包括不限于服务器需要紧急重启导致登录失效（很多游戏平台，每次更新服务器都需要你重新登录就是因为其保存的会话session丢失，需要你重新登录建立一次新链接），又或者到了生命周期（由脚本代码的配置决定）又或者客户端关闭了网站（一般关闭网站，会直接导致PHPSESSID被删除），这个时候，你复制出去的session是无效的，因为已经失效了。更不用说，前后端是分离的，对后端的每次请求，都不可能带着一个这样不可控的参数。

  在这种情况下，推出了token的概念，token是一个类似phpsessid的一种升级的解决方式，我们只需要用一种对称加密方法（也就是我们自己可以通过我们的key进行解密，其他人在不知道key的情况下，理论上无法解密信息）。用token来鉴权，最少有三个很明显的好处——
   第一，密文有意义，可以储存类似用户uid之类的关键信息
       第二，不必在于用户是否关闭了浏览器,服务器是不是重启了，甚至不用在乎到底是哪台服务器，只要接收了该token，并能解密，我们服务器就可以继续为该客户端服务

       第三 方便代码层面管理控制，依赖脚本底层机制管理我们并不知道其是否能按照我们的设想运行，但是加密解密是我们自己代码控制的，一定是可以随时让其失效。

  于是很快，使用token加密的方式明显铺开。这个时候，我们只需要解决怎么进行对称加密的难题即可。所幸，每个语言都有这种语言加密函数库，加密的算法比较复杂，我们不用深究，只需要简单引入即可使用。例如PHP里面的
openssl_decrypt($data, 'AES-128-ECB', $key, 0); 加密数据，加密方法，加密的key,位移 解密openssl_encrypt($data, 'AES-128-ECB', $key, 0); PYTHON里面的from cryptography.fernet import Fernet 库也可以类似效果。

       也就是我们将一个字符串进行加密运算之后，丢到服务器端，并设置其为我们的token，然后规定用户每次需要进行操作的时候，都必须带token参数，可以cookie携带，也可以header携带，或者直接字段里面发送，服务器端拿到token之后，根据自有的key进行解密，最后还原出加密的字符串，同时我们可能储存了对应的uid信息在token里面，这样我们甚至无需用户端再次给我们发送uid这个参数，就已经能识别用户身份。很多登录后，进行的操作，都是依赖token对身份的唯一性操作，都是依赖传递的token，只是很多传递方式比较隐蔽。

小结:单一cookie验证身份不可靠，只依赖服务器端的session识别身份会让用户关闭浏览器后，无法识别用户身份，也会让分布式部署的服务器无法识别用户身份，所以用token鉴权优势明显。