最原始的鉴权方式是,用户从客户端提交用户名和密码提交到服务器,
服务器验证用户名密码,成功后返回一个 sessionid,客户端将它写入cookie,服务器同时保存 sessionid的信息(一般有期限)
以后的一段时间内,客户端的每次请求,都通过客户端发送的 cookie 中sessionid 的内容来确认客户端身份。
有些场景希望能做到跨域,比方说,QQ登录成功跳到QQ空间,类似的场景,客户当然不希望再去输入密码。
或者从web的邮箱跳到QQ空间。
写 sessionid的办法自然不能再用力,为什么?
JWT 是个啥?
RFC 对 OAuth的官版规范
网友评论