前提:使用者已經經過登入驗證這個環節。
問題:那麼使用者再向服務端取得自己私有的資料時,如何來驗證他的身分?
(備註:後端用的express框架)
PHP中文网2017-05-16 13:40:11
session!
session可以存在伺服器記憶體或redis這樣的快取裡。
有成熟的第三方session庫,其中session可以存在redis/資料庫/本地。
你可以這樣,將session存到redis中:
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
app.use(session({
store: new RedisStore({
host: CONF.REDIS_URL(),
port: 6379
}),
secret: 'keyboard cat',
resave: false,
saveUninitialized: false,
cookie: {maxAge: 14400000}
}));
漂亮男人2017-05-16 13:40:11
使用者驗證通過之後會在後台保存一定的資訊來避免後期重複驗證,以前常用的方法是Session,Session 是基於Cookie 的,後來逐漸發展了Token 方式,使用Token 來代替Cookie 中的Seesion-Id,作為後端判斷登入使用者的依據,再然後出現了JWT(JSON Web Token)。
不過話說回來,如果確實存在非常重要需要特別謹慎的操作,應該會有二次驗證,比如付款的隨機短信密碼,以及各種安全 Token (或隨機密碼) App 等。最簡單的就是在登入一定時間之後要求再次輸入密碼確認進行高安全性操作,例如管理員刪除重要資料之類的操作。