我的一个思路:用户登录的时候,输入username/password,post到后端后端正常流程登录验证,验证成功,生成token和expire_time并存储到数据库,并返回信息告诉前端登录成功前端收到登录成功的信息后,将后端返回的用户信息存储起来,并按照后端生成token的规则,自己生成一个token信息并保存本地当前端再次请求后端数据的时候,在header里面带上token后端每次收到前端请求的时候验证该token是否存在,并验证token的有效期疑点一:该思路是否需要改进?疑点二:前端生成的token发送服务器的时候,是否会被劫持?有什么方案可解决?疑点三:使用php如何优雅的获取header里面的token?
1 回答
牧羊人nacy
TA贡献1862条经验 获得超7个赞
有两点觉得好像不对
1.后端并不需要存储token和expire_time到数据库!因为需要权限的操作,前端都会传递token过来,只需验证是否有效,并解析就可以得到用户相关信息;
2.后端已经生成好了token并成功返回前端,前端只需保存就行!在适当的时候带着发送给后端就行!前端为啥还要自己生成token?
3.token被劫持的问题,需要通信过程加密,使用https就行。
添加回答
举报
0/150
提交
取消