授权处理：token和session

1、session服务器认证、授权、鉴权：

cookie + session来做认证

cookie是放在游览器中的

session是保存在服务器的数据库中的

session鉴权处理：self.session = request.session() 直接拿self.session发送请求就好了，无需收到添加cookie

 

 

2、token安全令牌机制

token是服务器生成的

游览器接收到相应的报文之后，会将token放在local storage 或者session storage

往往会将token放在请求头中

token鉴权处理：拼接请求头self.header["Authorization"] = "bearer{}".format(token)

 

3、什么是session认证？认证的过程是怎么样的？什么是token认证？token认证与session认证的区别？

Session：以访问课堂派为例，每次登录服务器时，都会分配一个唯一的session_id, 游览器将session_id存放在Set-cookie当中， 服务器能够根据session_id判断是否登录有过期，如果没有过期，并且用户信息是正确的，就能够通过用户的认证，就具备相应的角色和权限。

 

Token：游览器通过用户名和密码访问课堂派服务端会对用户进行身份认证，验证成功对用户返回一个token，这个token是存放在请求体当中，会保存在会话存储和本地存储当中，关闭游览器会话存储会清空

 

token认证服务器不会保存token，再次访问时只会对token中携带的信息进行认证

Session认证服务器会给每一个session分配唯一的sessionid保存在内存或者服务器中，再次访问游览器，

通过cookie和session传给服务器，服务器根据seessionid找到第一次登录时分配的session对象