系统开发来讲,安全验证永远是最重要的,从最原始的session、cookie验证方式,到符合restful风格、满足前后端分离需求、启用https请求,各方面都在不断变化中。本文以jwt(json web token)的实践为例
一般情况 客户端在登录请求时 服务端会返回一个token 给客户端,那么接下来 客户端其他所有的请求 都必须带上这个 token 标识 服务端会对这个token 验证 如果 通过 证明你是合法的请求 否则 就 拒绝访问
下面附上一个例子:
创建token(我的token 生成规则 是 用户ID + 当前时间戳 然后 私钥):
验证token(验证的时候 能从token获取到user_id 说明token 是合法的):
我是在拦截器(拦截器怎么使用 我下一篇文章我附上)上面 进行 token 验证的 客户端请求的时候 token 必须放在 request.head 里面
这里是 拦截 客户端的 http请求 如果token 验证通过 那么 这 return true 否则 重定向 url