1.客戶端使用用戶名跟密碼請求登錄 2.服務端收到請求，去驗證用戶名與密碼 3.驗證成功后，服務端會簽發一個 token 并把這個 token 發送給客戶端 4.客戶端收到 token 以后，會把它存儲起來，比如放在 cookie 里或者 localStorage 里 5.客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 token 6.服務端收到請求，然后去驗證客戶端請求里面帶著的 token ，如果驗證成功，就向客戶端返回請求的數據 > > 每一次請求都需要攜帶 token，需要把 token 放到 HTTP 的 Header 里 > 基于 token 的用戶認證是一種服務端無狀態的認證方式，服務端不用存放 token 數據。用解析 token 的計算時間換取 session 的存儲空間，從而減輕服務器的壓力，減少頻繁的查詢數據庫 > token 完全由應用管理，所以它可以避開同源策略