猿问

回到首页 个人中心 反馈问题 注册登录
下载APP
首页 课程 实战 体系课 手记 专栏 慕课教程

token身份校验的设计方式

我的一个思路:

  1. 用户登录的时候,输入username/password,post到后端

  2. 后端正常流程登录验证,验证成功,生成token和expire_time并存储到数据库,并返回信息告诉前端登录成功

  3. 前端收到登录成功的信息后,将后端返回的用户信息存储起来,并按照后端生成token的规则,自己生成一个token信息并保存本地

  4. 当前端再次请求后端数据的时候,在header里面带上token

  5. 后端每次收到前端请求的时候验证该token是否存在,并验证token的有效期

疑点一:该思路是否需要改进?
疑点二:前端生成的token发送服务器的时候,是否会被劫持?有什么方案可解决?
疑点三:使用php如何优雅的获取header里面的token?


手掌心
浏览 524回答 1
1回答

牧羊人nacy

有两点觉得好像不对1.后端并不需要存储token和expire_time到数据库!因为需要权限的操作,前端都会传递token过来,只需验证是否有效,并解析就可以得到用户相关信息;2.后端已经生成好了token并成功返回前端,前端只需保存就行!在适当的时候带着发送给后端就行!前端为啥还要自己生成token?3.token被劫持的问题,需要通信过程加密,使用https就行。
0
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

JavaScript