用户提供他的用户名还有密码，我们收到请求以后，要验证一下，检查一下自己的数据库，看看能不能找到这个用户，密码匹不匹配 ... 如果验证通过了，我们就给这个用户签发一个 Token，中文可以翻译成令牌 ...

用户得到我们签发给他的这个 Token，可以找个地方存储起来，比如存储在浏览器的 Cookie 里面 .. 下回这个用户再向我们的应用请求一些特定资源的时候，需要提供这个 Token ...

我们得到这个 Token 以后，要检验一下这个 Token 对不对，看看是不是我们自己签发的 ... 检查通过以后，可以根据 Token 里面包含的数据，确定用户是谁，有什么权限 .. 然后可以决定是否要把用户请求的资源交给他 ...

这个 Token 的格式，生成，还有验证它用的方法，可以使用 jwt ，也就是 JSON Web Token ...