第一種：最簡單的HTTP Basic Authentication，這種方式在客戶端會(huì)彈出一個(gè)登錄窗口，由用戶輸入用戶名和密碼進(jìn)行登錄，但是這種方式使用基本的Base64方式加密，賬號很容易泄露出去，現(xiàn)在很少人使用了。這種驗(yàn)證方法反應(yīng)了人們對信息私有化的需求，這是電腦從局域網(wǎng)走向互聯(lián)網(wǎng)以后產(chǎn)生的需求，

第二種：是使用session、cookie這種機(jī)制，這種方式里session是在服務(wù)器端創(chuàng)建的，可以存在內(nèi)存里，也可以存在持久化到數(shù)據(jù)庫里面，而cookie是存在用戶瀏覽器里的sessionId，sessionId一經(jīng)創(chuàng)建，就在后面的每次的HTTP請求里面，都會(huì)帶著請求頭當(dāng)中，服務(wù)器就是靠這種標(biāo)識來區(qū)別客戶端是哪一個(gè)。這種驗(yàn)證方式以及加密算法的出現(xiàn)，它反映了在公開的互聯(lián)網(wǎng)上，人們對隱私對信息保密的重視，這個(gè)時(shí)期單點(diǎn)登錄的出現(xiàn)，標(biāo)志著互聯(lián)網(wǎng)向分布式發(fā)展，開始出現(xiàn)了海量用戶產(chǎn)品，比如QQ、微信、Facebook等等。

第三種：Token驗(yàn)證，在這里Token是令牌的意思，這種驗(yàn)證是在App興起以后發(fā)展起來的，因?yàn)樵贏pp里它沒有瀏覽器環(huán)境沒有cookie，那么客戶端在進(jìn)行了權(quán)限驗(yàn)證以后，就把登錄憑證（Token）直接存在了客戶端里面，并且在每次請求服務(wù)器的時(shí)候都把它給帶上。最常用的Token的驗(yàn)證方式是JWT,他是Json Web Token的縮寫，這種驗(yàn)證方式它代表了移動(dòng)互聯(lián)網(wǎng)的崛起。

具體來說，Token在客戶端和服務(wù)器端共發(fā)生了6次交互，第一步：客戶端使用用戶名和密碼請求登錄；第二步：服務(wù)器收到請求以后去驗(yàn)證用戶名和密碼；第三步：驗(yàn)證成功以后，服務(wù)器會(huì)簽發(fā)一個(gè)Token，再把Token發(fā)送給客戶端；第四步：客戶端收到Token以后把它給存儲(chǔ)起來，例如放在Cookie里面或者Local Storage里面，或者是內(nèi)存里面，第五步：客戶端每次向服務(wù)器請求資源的時(shí)候，都需要帶著這個(gè)服務(wù)器剛剛簽發(fā)的Token，這個(gè)Token一般是有時(shí)效性的，如果超時(shí)了還需要重新去獲??；第六步：服務(wù)端收到請求，然后去驗(yàn)證客戶端送來的Token，驗(yàn)證成功就向客戶端返回?cái)?shù)據(jù)。

JWT是目前使用最廣泛的Token驗(yàn)證方式，JWT在登錄成功以后，將相關(guān)的信息組成JSON對象，然后將這個(gè)對象進(jìn)行某種方式的加密，在返還給客戶端，客戶端在下次請求的時(shí)候再帶上Token，服務(wù)器端收到這個(gè)Token以后，在驗(yàn)證Token的合法性。

JWT主要包括三分部分，第一個(gè)部分是Headers，主要是包括類別以及加密的算法；第二部分是Claims，這個(gè)主要是需要傳遞的一些用戶信息，這個(gè)里邊的一些字段，都是開發(fā)者自定義的一些字段；第三部分是Signature，它是根據(jù)上面的指定的算法以及私密的私匙，然后在服務(wù)器端進(jìn)行加密而得到的簽名的字符串。

第四種：OAuth驗(yàn)證，這種方式在今天是非常常見的，我們經(jīng)常看到一些網(wǎng)站登錄的時(shí)候，可以使用QQ或者是微信賬號登錄，這種登錄方式本身就是OAuth驗(yàn)證，還有我們在小程序里面使用微信一鍵登錄的時(shí)候，也是這種方式。這種方式我們先向鑒權(quán)服務(wù)器請求，拿到了一個(gè)code，這個(gè)code代表的是用戶的許可，然后再以這個(gè)code，加上開發(fā)者自己的AppID和appSecret，再請求鑒權(quán)服務(wù)器拿到一個(gè)success token，這個(gè)才是真正的Token代表的是服務(wù)器的許可，有了這個(gè)Token才可以把加密的用戶信息給解密出來，這種方式它代表了大平臺(tái)作為基礎(chǔ)賬號存在已變成了一種事實(shí)，像QQ、微信、Facebook等等。

在這四種鑒權(quán)方式中，從表面上看，Token驗(yàn)證與前面的session-cookie驗(yàn)證有點(diǎn)像，但是他們是不一樣的，session-cookie是通過sessionId來作為瀏覽器和服務(wù)器之前的溝通的橋梁；而Token驗(yàn)證方式，它貌似是Token充當(dāng)了session的角色，但其實(shí)這兩者的差別還是挺大的，第一點(diǎn)不同：sessionId它只是一個(gè)唯一標(biāo)識的字符串，服務(wù)器是根據(jù)這個(gè)字符串，來查詢在服務(wù)器端存儲(chǔ)的session對象，在session對象里面才保存著用戶的登錄狀態(tài)以及其他的信息，但是Token本身就是一種登錄憑證，它本身就保存著用戶的登錄信息，還包括其他的一些算法以及解密的一些這些信息，這種Token更方便在多個(gè)分布式服務(wù)器之間共享，服務(wù)器端只需要驗(yàn)證token的合法性就可以了。第二點(diǎn)不同：session-cookie是需要cookie配合使用的，但是我們知道在進(jìn)入App時(shí)代以來，HTTP客戶端不只有瀏覽器這一個(gè)客戶端的環(huán)境，還有原生的App、小程序等其它形式，在這些環(huán)境下，cookie是不起作用的，還有瀏覽器端是可以禁止cookie的，他可以存儲(chǔ)在cookie當(dāng)中，也可以存在storage當(dāng)中，或者存在內(nèi)存里面，只要是每次HTTP請求頭里面，然后帶上token就可以了，Token的客戶端驗(yàn)證適用的客戶端驗(yàn)證更多，方式也更加的靈活。