首页 > 开发 > JS > 正文

token身份校验的设计方式

2017-09-05 07:26:48  来源:网友分享

我的一个思路:

  1. 用户登录的时候,输入username/password,post到后端
  2. 后端正常流程登录验证,验证成功,生成token和expire_time并存储到数据库,并返回信息告诉前端登录成功
  3. 前端收到登录成功的信息后,将后端返回的用户信息存储起来,并按照后端生成token的规则,自己生成一个token信息并保存本地
  4. 当前端再次请求后端数据的时候,在header里面带上token
  5. 后端每次收到前端请求的时候验证该token是否存在,并验证token的有效期

疑点一:该思路是否需要改进?
疑点二:前端生成的token发送服务器的时候,是否会被劫持?有什么方案可解决?
疑点三:使用php如何优雅的获取header里面的token?

解决方案

有两点觉得好像不对

1.后端并不需要存储token和expire_time到数据库!因为需要权限的操作,前端都会传递token过来,只需验证是否有效,并解析就可以得到用户相关信息;

2.后端已经生成好了token并成功返回前端,前端只需保存就行!在适当的时候带着发送给后端就行!前端为啥还要自己生成token?

3.token被劫持的问题,需要通信过程加密,使用https就行。