前后端分离接口请求时后台怎么判断登录状态

前后端分离的项目：登录之后，前端会在浏览器缓存下用户登录信息；每次请求会把用户信息传给后台；而且都是get请求，参数都在链接上面；现在只要把这个请求链接拷贝下来，另开一个页面也是可以请求到数据的；现在觉得这样不安全，别人抓包就可以抓到数据；请问有没有其他更好的方式，在请求接口的时候做是否登录校验？

查看完整描述

4 回答

阿晨1998

TA贡献2037条经验获得超6个赞

而且都是get请求，参数都在链接上面；
现在只要把这个请求链接拷贝下来，另开一个页面也是可以请求到数据的；

可以把权限信息放header里比如token

现在觉得这样不安全，别人抓包就可以抓到数据；

说实话，无论怎么样都能抓，抓了就能发，要保证链路中的安全可以上https。

请问有没有其他更好的方式，在请求接口的时候做是否登录校验？

这个接口能不能被匿名访问，或者是否只能被特定用户访问，这是后端本该存在的功能，如果不是公共资源，是必须做登陆验证的，这不是可选项。

反对回复 2019-02-12

犯罪嫌疑人X

TA贡献2080条经验获得超4个赞

保存到cookie里啊

反对回复 2019-02-12

热搜