api/token
token其實和session原理差不多,服務(wù)端通過給用戶發(fā)送一個token,用戶通過該token進行請求服務(wù)端,這種會話驗證方式一般用于跨平臺開發(fā),以及接口開發(fā),大概步驟為:
- 用戶A第一次進入,通過驗證機制(賬號密碼登陸)請求服務(wù)端token
- 服務(wù)端驗證成功,給用戶發(fā)送一個token(針對用戶)
- 服務(wù)端根據(jù)token,在服務(wù)端存儲對應(yīng)的數(shù)據(jù)(文件,mysql,redis等)
- 用戶A端獲取到token,存儲到用戶端本地
- 用戶A請求某接口,帶上token
- 服務(wù)端通過token,驗證用戶有效性,返回數(shù)據(jù)
這種設(shè)計理念和session相差不大(無論如何變換,都是需要用戶端存儲相應(yīng)的標(biāo)識,用于給服務(wù)端解析)
為了安全,服務(wù)端可設(shè)定token有效時間,以及加密token,每隔一段時間變動一次token等.