用户在客户端申请登录,成功以后服务端会给他签发一个令牌。客户端收到服务端签发的令牌,要把它存储在某个地方,浏览器,小程序,移动端都提供了在本地存储数据的地方。下次客户端再次请求服务端应用的时候需要在请求里带着这个令牌。可以在请求里添加一个 Authorization 的头部数据,对应的值是 Bearer 空格,后面再加上令牌的值。
服务端应用可以从请求里的 Authorization 这个头部数据里提取令牌。去掉 Bearer 空格以后,得到的就是令牌的值。得到了令牌以后服务端要验证这个令牌的真实有效性。确定没有问题,就可以继续提供服务,如果验证失败,就可以拒绝提供服务。