Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie。

内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。

硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。

所以，按存在时间，可分为非持久Cookie和持久Cookie。

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以key-value形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

session 从字面上讲，就是会话。这个就类似于你和一个人交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方肯定有某种特征（长相等）表明他就是张三。

session 也是类似的道理，服务器要知道当前发请求给自己的是谁。为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，

然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，

可以有很多种方式，对于浏览器客户端，大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，

可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。

token的意思是“令牌”，是用户身份的验证方式.

最简单的token组成:

【1】uid(用户唯一的身份标识)
【2】time(当前时间的时间戳)
【3】sign(签名，由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串，
    可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token，避免多次查库

这里的token是指SON Web Token

  1 package main
  2 
  3 import (
  4     "log"
  5     "net/http"
  6     "github.com/codegangsta/negroni"
  7     "encoding/json"
  8     "fmt"
  9     "strings"
 10     "github.com/dgrijalva/jwt-go"
 11     "time"
 12     "github.com/dgrijalva/jwt-go/request"
 13 )
 14 
 15 /**
 16 说明：
 17 客户端通过在request对象header里添加token参数，发送到服务端。
 18 服务端再拿出token进行比对。
 19 token的第一次产生是发生在login检查账户存在并且正确之后，为该用户赋予一块令牌（加密字符串）
 20 并将token放入response的header里。客户端登陆成功后，从response里取出token。并在以后操作request请求。
 21 都保持在header里添加该段令牌，令牌有效期失效后，只有重新login，才能获取新的令牌。
 22 */
 23 const (
 24     //SecretKey = "welcome to wangshubo's blog"
 25     SecretKey = "I have login"
 26 )
 27 
 28 func fatal(err error) {
 29     if err != nil {
 30         log.Fatal(err)
 31     }
 32 }
 33 
 34 type UserCredentials struct {
 35     Username string `json:"username"`
 36     Password string `json:"password"`
 37 }
 38 
 39 type User struct {
 40     ID       int    `json:"id"`
 41     Name     string `json:"name"`
 42     Username string `json:"username"`
 43     Password string `json:"password"`
 44 }
 45 
 46 type Response struct {
 47     Data string `json:"data"`
 48 }
 49 
 50 type Token struct {
 51     Token string `json:"token"`
 52 }
 53 
 54 func StartServer() {
 55 
 56     http.HandleFunc("/login", LoginHandler)
 57 
 58     http.Handle("/resource", negroni.New(
 59         negroni.HandlerFunc(ValidateTokenMiddleware),
 60         negroni.Wrap(http.HandlerFunc(ProtectedHandler)),
 61     ))
 62 
 63     log.Println("Now listening...")
 64     http.ListenAndServe(":8080", nil)
 65 }
 66 
 67 func main() {
 68     StartServer()
 69 }
 70 
 71 func ProtectedHandler(w http.ResponseWriter, r *http.Request) {
 72 
 73     response := Response{"Gained access to protected resource !"}
 74     JsonResponse(response, w)
 75 
 76 }
 77 
 78 //服务端生成token，并放入到response的header
 79 /**
 80 JWT由三部份组成：
 81 * Header:头部 （对应：Header）
 82 * Claims:声明 (对应：Payload)
 83 * Signature:签名 (对应：Signature)
 84 */
 85 func LoginHandler(w http.ResponseWriter, r *http.Request) {
 86 
 87     var u *User=new(User)
 88 
 89     var user UserCredentials
 90 
 91     err := json.NewDecoder(r.Body).Decode(&user)
 92 
 93     if err != nil {
 94         w.WriteHeader(http.StatusForbidden)
 95         fmt.Fprint(w, "Error in request")
 96         return
 97     }
 98 
 99     //验证是身份：若用户是someone，则生成token
100     if strings.ToLower(user.Username) != "someone" {
101         if user.Password != "p@ssword" {
102             w.WriteHeader(http.StatusForbidden)
103             fmt.Println("Error logging in")
104             fmt.Fprint(w, "Invalid credentials")
105             return
106         }
107     }
108 
109     //1。生成token
110     token := jwt.New(jwt.SigningMethodHS256)
111     claims := make(jwt.MapClaims)
112     //2。添加令牌关键信息
113     //添加令牌期限
114     claims["exp"] = time.Now().Add(time.Hour * time.Duration(1)).Unix()
115     claims["iat"] = time.Now().Unix()
116     claims["id"]=u.ID
117     claims["userName"]=u.Username
118     claims["password"]=u.Password
119     token.Claims = claims
120 
121     fmt.Println(claims)
122 
123     if err != nil {
124         w.WriteHeader(http.StatusInternalServerError)
125         fmt.Fprintln(w, "Error extracting the key")
126         fatal(err)
127     }
128 
129     //获取令牌
130     tokenString, err := token.SignedString([]byte(SecretKey))
131     if err != nil {
132         w.WriteHeader(http.StatusInternalServerError)
133         fmt.Fprintln(w, "Error while signing the token")
134         fatal(err)
135     }
136 
137     //2。将生成的token放入到header
138     response := Token{tokenString}
139     JsonResponse(response, w)
140 
141 }
142 
143 //验证Token
144 func ValidateTokenMiddleware(w http.ResponseWriter, r *http.Request, next http.HandlerFunc) {
145     token, err := request.ParseFromRequest(r, request.AuthorizationHeaderExtractor,
146         func(token *jwt.Token) (interface{}, error) {
147             return []byte(SecretKey), nil
148         })
149 
150     if err == nil {
151         if token.Valid {
152             next(w, r)
153         } else {
154             w.WriteHeader(http.StatusUnauthorized)
155             fmt.Fprint(w, "Token is not valid")
156         }
157     } else {
158         w.WriteHeader(http.StatusUnauthorized)
159         fmt.Fprint(w, "Unauthorized access to this resource")
160     }
161 
162 }
163 
164 func JsonResponse(response interface{}, w http.ResponseWriter) {
165     json, err := json.Marshal(response)
166     if err != nil {
167         http.Error(w, err.Error(), http.StatusInternalServerError)
168         return
169     }
170     w.WriteHeader(http.StatusOK)
171     w.Header().Set("Content-Type", "application/json")
172     w.Write(json)
173 }