php - 公司采用前后端分离, token我直接用sessionid可以么?

Question

我们公司准备用前后端分离做项目, 前后端为了保持登录状态, 我看了网上很多都说的用token来保持登录, 现在我在token中直接存放md5(sessionid)可以么?有没有什么问题?

Answer 1

基本的に、フロントエンドはプライバシー保護の目的で、ユーザーの機密データなどの可読性を下げるためにデータを暗号化します。 seesion_id を渡す場合、暗号化する必要はありません。上記の md5 メソッドに関しては、seesion_id 自体がキーとして使用され、md5 はハッシュ メソッド (不可逆的) であるため、バックエンドが使用したい場合は直接使用できます。使用してください。MD5 のレイヤーは無意味です (ハイジャックされている場合は、直接使用してください)

あなたが言及したトークンの問題は、バックエンドが認証部分を実装する方法、情報を保存するためにセッションを復元するか、インターフェイス呼び出し権限を確認するためにトークンを使用するかにあります。バックエンドの実装方法によって異なります。

セッションはブラウザに配置された Cookie によって保存され、ブラウザの Cookie の有効期限に基づいてログイン保持時間を制御します (クライアントの観点)。

残りの内容については、このセッション Cookie とトークンを参照してください

Answer 2

さらにいくつかのレイヤーで暗号化します。MD5 は単純すぎます。

Answer 3

トークン、ログイン時に MD5 で暗号化された日付を取得し、それを Redis にスローし、インターセプターでブロックして判断します

Answer 4

機密性の高いコンテンツ (パスワードなど) が保存されていない限り、問題はありません。人気のjwtを使うのがおすすめです。様々な言語で実装されているライブラリがあり、とても便利です。

Answer 5

セッション ID は単なるトークンであり、md5 は冗長です。

Answer 6

sessionid 暗号化された平文トークンではありませんか? md5 する必要はありません

Answer 7

全く問題ありません。jwt を使用してください。トークンの合法性の検証には注意してください。