javascript - token身份校验的设计方式

问题描述

问 题

我的一个思路：

1. 用户登录的时候,输入username/password,post到后端
2. 后端正常流程登录验证，验证成功，生成token和expire_time并存储到数据库，并返回信息告诉前端登录成功
3. 前端收到登录成功的信息后，将后端返回的用户信息存储起来，并按照后端生成token的规则，自己生成一个token信息并保存本地
4. 当前端再次请求后端数据的时候，在header里面带上token
5. 后端每次收到前端请求的时候验证该token是否存在，并验证token的有效期

疑点一：该思路是否需要改进？
疑点二：前端生成的token发送服务器的时候，是否会被劫持？有什么方案可解决？
疑点三：使用php如何优雅的获取header里面的token？

解决方案

有两点觉得好像不对

1.后端并不需要存储token和expire_time到数据库！因为需要权限的操作，前端都会传递token过来，只需验证是否有效，并解析就可以得到用户相关信息；

2.后端已经生成好了token并成功返回前端，前端只需保存就行！在适当的时候带着发送给后端就行！前端为啥还要自己生成token？

3.token被劫持的问题，需要通信过程加密，使用https就行。

这篇关于javascript - token身份校验的设计方式的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！