Http 的無狀態性,是指每一個 request 是獨立的。意思是伺服器端與客戶端不會保持連線狀態,因此不會有雙方狀態的即時更新。
因此,在 Web 應用程式想要保留使用者登入狀態時,就需要另外實作解決方案。而 cookie & session 就是在此脈絡下產生的解決方案。
原本採用 Passport 的 local strategy,這個策略在搭配 cookie & session 的機制來實現登入。
cookie 是瀏覽器提供的功能,如果使用後端 api 伺服器時,我們的客戶端不在是瀏覽器,所以不能使用 cookie-based 認證機制。
Token 由如代幣。像是入場憑證,直接叫 token。
首次取得 token 後,之後發送的每一個 http 請求都會帶著 token 參數。
機制規範: