Json介绍 Json（JavaScript Object Notation）是一种轻量级的数据交换格式，常用于前后端数据传输和存储。 它使用简洁的文本格式来表示结构化的数据，易于阅读和编写，并且可以被多种编程语言解析和生成。 Json的基本语法包括键值对（key-value pairs）和数据类型。 键值对由一个键（key）和一个值（value）组成，中间用冒号（:）分隔。 多个键值对之间用逗号（,）分隔。值可以是字符串、数字、布尔值、数组、对象或null。 以下是一个Json对象的示例： { "name": "Raysen", "age": 27, "isStudent": true, "hobbies": ["唱", "RAP", "篮球"], "address": { "street": "23号大街", "city": "杭州", "country": "China" }, "favoriteFruit": null } 键值对的键是字符串，值可以是字符串（如”name”和”Raysen”）、数字（如”age”和30）、布尔值（如”isStudent”和true）、数组（如”hobbies”）或对象（如”address”）。键值对之间用逗号分隔，整个Json对象用花括号括起来。 Json的优点包括易于理解和编写、数据结构清晰、可读性强、支持多种编程语言等。它广泛应用于Web开发、API接口设计、配置文件等场景。 Json格式弊端 缺乏类型信息：Json格式的数据没有明确的类型信息，只能通过字段名来推断数据类型。这导致在处理复杂数据结构时，需要额外的逻辑来解析和处理数据。 不支持注释：Json格式不支持注释，这使得在复杂的数据结构中添加注释变得困难。注释对于代码的可读性和维护性非常重要，但在Json中无法直接添加注释。 不支持多行字符串：Json格式中的字符串必须在一行内表示，不支持多行字符串。这在处理较长的文本或包含换行符的字符串时，会导致可读性下降。 不支持原生日期类型：Json格式没有原生的日期类型，日期通常以字符串的形式表示。这使得在处理日期相关的操作时，需要额外的转换和处理。 不支持引用和循环引用：Json格式不支持引用其他对象或循环引用。这在处理复杂的数据关系时，可能会导致数据冗余和难以维护。 Json格式在一般的数据交换和存储场景中表现良好，但在处理复杂数据结构和需要更多元信息的情况下，存在一些不足之处。 Json弊端优化方案 使用压缩算法：可以使用压缩算法对Json格式进行压缩，减小数据的存储空间占用。 使用二进制格式：可以将Json格式转换为二进制格式，减少数据的存储空间和传输带宽。 使用Schema验证：可以使用Schema验证Json数据的结构和类型，提高数据的可靠性和可读性。 使用更紧凑的数据格式：可以考虑使用其他更紧凑的数据格式，如MessagePack、Protocol Buffers等，减小数据的存储空间和传输带宽。 ...

“计算机科学只存在两个难题：缓存失效和命名。” — Phil KarIton 命名的难度在于如何让变量、常量、函数或类的定义清晰而简洁，而不应有歧义。如果我们不能清楚的看懂某个变量，那么这个变量的命名就不太准确。‍ API key 和 token 就有这种问题，它们都是作为一种身份验证机制。前几天我在一次讨论中，有人提到这两个词可以互换使用。大约两分钟后，我不得不停止谈话并说“你们应该知道它们是不同的，对吧？”‍，说完会上鸦雀无声，显然他们不知道。事实证明，很多人都无法告诉我 API key 和 token 之间的区别。因此文本我将向大家介绍它们之间的区别。 定义 我们可以通过以下定义来区分 API key 和 token。 API key — 通过代码调用 API 时提供的值，用于识别和授权调用者。它旨在以编程方式使用，通常是一长串字母和数字。 token — 代表用户会话或特定权限的一段数据。供个人用户在有限的时间内使用。 生成方式 两者之间的创建方法通常也不同。 API key — 通常通过用户界面创建一次，并且在轮换之前可以一直使用，也可以选择配置为在一定时间后过期。 token — 在成功验证或登录成功时动态生成。通常过期时间较短，但可以刷新较长时间。 权限范围 权限范围是指授权部分或使用提供的身份验证方法时可以执行哪些功能。 API key — 固定的、不变的应用程序功能权限集。谁拥有 API key 就可以访问允许的资源。 token — 仅限于个人有权访问的特定数据或功能。这可能会受到角色或其他业务级别要求的影响。往往更关注数据限制。 安全性 它们的安全性如何？如果 API key 或者 token 被恶意用户泄露或获取，潜在的损害有多严重？ API key — 由于这些密钥通常是长期存在的并且不限制对数据的访问，因此如果被泄露，可能会造成毁灭性的后果。通常撤销 API key 是解决问题的唯一手段。应用程序通常需要具有良好的可观察性，以识别受损密钥并找到恶意用户。 token — 设计时考虑到了安全性。通常是短暂的并且很容易被撤销。受损的令牌仅具有用户有权访问的数据范围，并且将自动过期。 使用方式 什么时候你会使用其中一种而不是另一种呢？看起来他们在利弊之间取得了很好的平衡。 API key — 用于服务器到服务器之间的通信，例如访问天气 API 等公共数据、与第三方系统集成。 token — 用于用户身份验证、细粒度访问控制 (FGAC)、授予对资源的临时访问权限、浏览器访问权限以及管理用户会话。 举个例子 现在我们了解了两者之间的区别，让我们看一下使用 Momento JavaScript SDK 的两个实际示例。 API key 上文提到过 API key 通常是在用户界面创建的。考虑到隐私性，我没有可以分享的实际 API key。 不过以下是大家作为用户如何通过 Momento 控制台获取 API 密钥的方法。‍ 大家可以选择所需的权限，设置可选的到期日期，然后点击 Genergate Api Key。 然后我们可以工作流程中使用该 API key。 token 与成功登录时生成的基于用户的一次性 token 进行对比。我们可以采用基于角色的示例，用户可以只读访问日历事件缓存，但可以发布和订阅协作主题的访问权限。 // called on successful login exports.handler = async (event) => { const user = await loadUserMetadata(event.userId); let token; switch(user.role){ case 'data-entry': token = await getDataEntryToken(user.tenantId); break; case 'admin': token = await getAdminToken(user.tenantId); break; default: throw new Error('Role not supported'); } return token; }; const getDataEntryToken = async (tenantId) => { const scope = { permissions: [ { role: 'readonly', cache: 'calendar-events', item: { keyPrefix: tenantId } }, { role: 'publishsubscribe', cache: 'collaboration', topic: `${tenantId}-events` } ] }; const response = await authClient.generateDisposableToken(scope, ExpiresIn.minutes(15)); return { token: response.authToken, expiresAt: response.expiresAt.epoch() }; }; 以在此处看到，我们创建了一个有效期为 15 分钟的令牌，其权限范围是日历功能的只读权限，并且仅允许访问以用户所属的 tenantId 开头的缓存项。 因此，我们根据用户的属性限制了功能和数据。 总结 API key 和 token 各有优缺点，一个并不比另一个更好。 在决定要应用哪种身份验证机制时，请结合你的应用场景来进行选择。 如果是用在用户会话的身份验证场景时，可以使用 token。 如果是给第三方系统提供接口需要身份验证时，可以使用 API key。 ...