我想了解基于令牌的认证有什么手段。 我在网上搜索，但找不到任何可以理解的。

我认为这是很好的解释在这里 -只是引用了长篇文章的关键语句：

后面的基于令牌的认证系统的一般概念很简单。 允许用户为了获得一个凭证，以便让他们获取特定的资源输入自己的用户名和密码 - 不使用自己的用户名和密码。 一旦得到他们的令牌，用户可以提供令牌 - 它提供了访问某个时间段特定的资源 - 到远程站点。

换句话说：加一层间接认证 - 不必为每个受保护的资源的用户名和密码进行身份验证，用户验证这样一次（限期在会话中），作为回报获得一个有时间限制的令牌，并使用该令牌进一步验证在会议期间。

有许多优势-例如，用户可以通过该令牌，一旦他们知道的话，就到一些其他自动系统，他们愿意在有限的时间和有限的资源的信任，但不会愿意用自己的用户名和密码，以信托基金（即每他们允许访问的资源，直到永远，或者至少直到他们改变密码）。

如果有什么还不清楚，请编辑您的问题，以澄清究竟是不是100％清楚你，我很肯定我们可以进一步帮助您。

从Auth0.com

基于令牌的认证，依赖于被发送到每个请求的服务器签署的令牌。

什么是使用基于令牌的方法的好处是什么？

• 跨域/ CORS：饼干+ CORS不跨越不同领域发挥出色。 基于令牌的方法允许你做AJAX调用到任何服务器，在任何领域，因为你使用的HTTP标头发送的用户信息。

• 无状态（也就是服务器端扩展）：没有必要保持会话存储，令牌是传达所有用户信息的自包含的实体。 国家的其余部分生活在cookie或在客户端本地存储。

• CDN：你可以为你的应用程序从一个CDN（如，JavaScript，HTML，图像等）的全部资产，你的服务器端仅仅是个API。

• 去耦：你是不依赖于任何特定的认证方案。 令牌可能在任何地方发生，因此您的API可以从任何地方调用验证这些电话的单一方式。

• 手机做准备：当你开始在本地平台的工作（的iOS，安卓，Windows 8的等）消耗基于令牌的方法简化这个了很多，当饼干是不理想的。

• CSRF：因为你不是靠饼干，你并不需要，以防止跨站请求（例如，它不可能给同胞家网站，生成一个POST请求，并重新使用现有的身份验证Cookie，因为将有没有）。

• 性能：我们这里没有显示任何硬PERF基准，但网络往返（例如，发现数据库会话）可能需要更多的时间比计算HMACSHA256验证令牌和分析其内容。

甲token是一块仅数据Server X也可能已经创建，并且其包含足够的数据以识别一个特定的用户。

你可能会呈现您的登录信息，并要求Server X的token ; 然后你可以展示你的token ，并要求Server X执行一些用户特定的动作。

Token s的使用各种技术的各种组合，从密码学领域，以及与从安全研究的更广泛的领域输入创建。 如果你决定去创建自己的token系统，你最好是很聪明的。

令牌是一块由服务器创建的数据的，并且包含的​​信息来识别一个特定的用户和令牌有效性。 该令牌将包含用户的信息，以及一个特殊的标记代码，用户可以传递给服务器支持验证每一个方法，而不是直接通过用户名和密码。

基于令牌的认证是一种安全技术，验证谁尝试登录到服务器，网络或其他一些安全系统的用户来说，使用由服务器提供的安全令牌。

认证是成功的，如果用户可以证明一个服务器，他或她是一个有效的用户通过传递安全令牌。 该服务验证安全令牌并处理用户请求。

令牌是由服务验证后，它被用来建立安全上下文的客户端，因此该服务可以做出授权决定或审计活动连续用户请求。

访问来源

基于令牌（安全/验证）

意味着为了让我们能够证明我们已经进入我们首先要收到令牌。 在真实的生活场景，令牌可以是一个准入证的建筑，它可能是把锁的钥匙给你的房子。 为了让你获得一个关键的卡为您的办公室或关键看你的家，你首先需要证明你是谁，你其实也可以使用该令牌。 这可能是为别人展示你的ID或者给他们一个秘密口令简单的事情。 所以，想象我需要让我的办公室访问。 我下到保安办公室，我告诉他们我的ID，他们给我这个道理，这让我进入大楼。 现在我有不受限制的访问做任何我想做的建筑物内，只要我有我与我的令牌。

什么是基于令牌的安全性有什么好处？

如果我们回想不安全的API，我们不得不在这种情况下，做的是，我们必须为我们想要做的一切为我们的密码。

试想一下 ，每次我们在我们的办公室进门的时候，我们要给大家坐在旁边的门我们的密码。 现在，这将是非常糟糕的，因为这意味着我们的办公室内任何人都可以把我们的密码，并模仿我们，这是非常糟糕的。 取而代之的是，我们所要做的是，我们通过密码取回的道理，当然在一起，但我们检索从一个人。 然后的地方，我们要在建筑物内部，我们可以使用此标记。 当然，如果我们失去了道理，我们有同样的问题，因为如果别人知道我们的密码，而是引导我们进入之类的东西怎么办，我们要确保，如果我们失去了道理，我们可以撤销的访问，也许令牌不应该活长于24小时，所以第二天我们到办公室来，我们需要再次显示我们的ID。 但尽管如此，这里只有一个人，我们会显示ID来，这是保安坐在那里，我们获取的令牌。

现在的问题是旧的和技术的进步，这里是当前的状态：

JSON网络令牌（JWT）是一种基于JSON的开放标准（RFC 7519），用于Web应用程序环境当事人之间传递索赔。 该令牌被设计为紧凑，网址安全和可用尤其是在Web浏览器的单点登录（SSO）环境。

https://en.wikipedia.org/wiki/JSON_Web_Token

这是它与用户数据库或其他方式相关联刚散。 该令牌可用于授权用户访问应用程序的其它相关内容。 要检索客户端登录此令牌是必需的。 第一次登录后需要保存令牌检索不是任何其他数据，如会话，会话ID，因为这里的一切是令牌应用程序的访问其他资源。

令牌被用于确保用户的真实性。

当您注册一个新的网站，往往你会收到一封电子邮件，以激活您的帐户。 该电子邮件通常包含一个链接，点击。 该链接的一部分，包含一个令牌，服务器知道此令牌，并可以将它与您的帐户关联起来。 令牌通常将具有与其相关联的到期日，所以你可能只需要一个小时，点击链接，激活您的帐户。 什么设备或浏览器的客户使用，以检查电子邮件的这一切将有可能使用cookie或会话变量，因为它的未知。