- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我设计了一个简单的 HTML/CSS 和 JS/jQuery 应用程序,现在是身份验证集成的时刻。在服务器端,我做了一个 REST API,它允许客户端获取一些数据。但是,现在我想使用访问和/或 session token 对每个请求进行身份验证。
我阅读了很多网站来寻找在客户端 (JS) 和 REST API (PHP) 之间建立安全性的协议(protocol)或建议,但不幸的是我没有找到任何内容或没有兴趣。所以我请你启发我(如果你愿意)知道该做什么、要实现什么、约定等等。
我读到的内容:
Designing a Secure REST (Web) API without OAuth
Token Based Authentication for Single Page Apps (SPAs)
根据我的声誉,我无法发布更多链接...
请给我建议,以及如何存储 API 的私有(private) token (RSA) 或访问/ session token 的方法。
请毫不犹豫地给出您的 react ,如果我说得不准确或其他什么,请告诉我。
最佳答案
您需要对 REST API 使用基于 token 的身份验证。在这种特殊情况下,JWT 是最好的。
为什么使用 JSON Web token ?
token 是无状态的。 token 是独立的,包含身份验证所需的所有信息。这对于可扩展性非常有用,因为它使您的服务器不必存储 session 状态。
JWT 可以从任何地方生成。 token 生成与 token 验证分离,使您可以选择在单独的服务器上甚至通过不同的公司(例如 Auth0)处理 token 签名.
JWT 具有细粒度的访问控制。在 token 负载中,您可以轻松指定用户 Angular 色和权限以及用户可以访问的资源。
这将是典型的身份验证流程:
顺便说一句,如果您不想自己实现身份验证,可以使用Auth0,查看VanillaJS SPA和 PHP quickstart
我希望这些信息有帮助。干杯!
关于javascript - 如何在 JS 和 PHP API 之间设置 session token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38913340/
我是一名优秀的程序员,十分优秀!