api/token
token其實和session原理差不多,服務端通過給用戶發送一個token,用戶通過該token進行請求服務端,這種會話驗證方式一般用于跨平臺開發,以及接口開發,大概步驟為:
- 用戶A第一次進入,通過驗證機制(賬號密碼登陸)請求服務端token
- 服務端驗證成功,給用戶發送一個token(針對用戶)
- 服務端根據token,在服務端存儲對應的數據(文件,mysql,redis等)
- 用戶A端獲取到token,存儲到用戶端本地
- 用戶A請求某接口,帶上token
- 服務端通過token,驗證用戶有效性,返回數據
這種設計理念和session相差不大(無論如何變換,都是需要用戶端存儲相應的標識,用于給服務端解析)
為了安全,服務端可設定token有效時間,以及加密token,每隔一段時間變動一次token等.