jquery - 只需 API 调用的应用程序

Question

我有一个只是 HTML 页面的应用程序。这会从另一台服务器调用 API 来获取/发送数据。这是我的问题。

1. 我们如何维护登录用户的 session ？那就是，怎样才能阻止他在不登录的情况下访问其他页面进入应用程序。
2. 我们如何在 UI 级别维护 session 超时
3. 我们需要在发送数据之前对其进行加密吗？如果是这样，我们如何使用 Jquery 来做到这一点？

请让我知道这些。谢谢。

Answer 1

我使用 API 的经验表明，使用 php session 或任何代码级 session 处理系统会严重降低应用程序性能。
This question是针对您的问题的推荐读物。

请记住，Rest Web 服务处理设备或自动化客户端完成的请求，而不仅仅是服务器端 session 可能适合的并发人工访问。

为了处理身份验证和授权，通常用于实现基于 token 的身份验证。 Oauth2是一个出色且广泛使用的双因素身份验证系统，您的客户端可以在其中获得 API 授权的临时 token 。

身份验证为您提供强大而灵活的安全性和基于用户的访问(角色、权限等)，可以在服务器端或客户端中使用以保护资源。并会为以下问题提供优雅的解决方案:

How do we maintain session timeout at the UI level

根据您想要的超时时间提供具有过期值的 token 。

Do we need to encrypt the data before sending it? If so how do we do it using Jquery?

强烈建议 API 采用 https 协议(protocol)，以保护您用户的数据。
利用支持 https 的客户端库。

您可以对提交给客户端的客户端代码(浏览器文件)进行签名，以便确保客户端对其 token 使用“签名请求”。

加密应用程序数据可能会让您在解码客户端发送的编码数据时陷入巨大的服务器瓶颈。
请记住，客户端是分开的，但服务器是唯一的(或者在好的情况下是可扩展的基础设施)，并且解密来自所有客户端的请求(客户端越多越好)......好吧，真的取决于您的服务器基础设施和运营的预算。

希望有用。