JSON Web Token，一般用它来替换掉Session实现数据共享。

　　使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

　　1、客户端通过用户名和密码登录服务器;

　　2、服务端对客户端身份进行验证;

　　3、服务端对该用户生成Token，返回给客户端;

　　4、客户端将Token保存到本地浏览器，一般保存到cookie中;

　　5、客户端发起请求，需要携带该Token;

　　6、服务端收到请求后，首先验证Token，之后返回数据。

　　如上图为Token实现方式，浏览器次访问服务器，根据传过来的唯一标识userId，服务端会通过一些算法，如常用的HMAC-SHA256算法，然后加一个密钥，生成一个token，然后通过BASE64编码一下之后将这个token发送给客户端;客户端将token保存起来，下次请求时，带着token，服务器收到请求后，然后会用相同的算法和密钥去验证token，如果通过，执行业务操作，不通过，返回不通过信息。

　　可以对比下图session实现方式，流程大致一致。

　　优点：

　　无状态、可扩展 ：在客户端存储的Token是无状态的，并且能够被扩展。基于这种无状态和不存储Session信息，负载均衡器能够将用户信息从一个服务传到其他服务器上。

　　安全：请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。

　　可提供接口给第三方服务：使用token时，可以提供可选的权限给第三方应用程序。

　　多平台跨域

　　对应用程序和服务进行扩展的时候，需要介入各种各种的设备和应用程序。 假如我们的后端api服务器a.com只提供数据，而静态资源则存放在cdn 服务器b.com上。当我们从a.com请求b.com下面的资源时，由于触发浏览器的同源策略限制而被阻止。

　　我们通过CORS(跨域资源共享)标准和token来解决资源共享和安全问题。

　　举个例子，我们可以设置b.com的响应首部字段为：