用户验证三部曲2|用户验证三部曲2 - token
文章图片
采用微服务的方式对用户验证和用户数据解耦 
文章图片
用户API涉及的库表 
文章图片
用户待办数据API涉及的库表 
文章图片
用户待办事项表 
文章图片
调用用户登录API
文章图片
返回JSON数据 
文章图片
查询用户待办事项 上面的处理方式显然是不安全的,用户数据直接传输到了客户端,待办查询API只接收用户参数就能查询,无法进行验证是否请求来自参数中宣称的用户,很容易被伪造滥用。
要解决上面的问题就引入一个概念 Token(用户票据),用户API负责颁发Token给客户端,当客户端调用 待办查询API时,需要携带Token,API将Token拿到用户API去验证。
文章图片
用户信息不再返回给客户端,而是返回给数据API,客户端仅能获得Token 那Token又带来了什么问题
- 必要保留用户和Token之间的映射,要么在内存要么在数据库中
- 用户API还是稍微有点状态
- 用户API和其他服务耦合到一起
推荐阅读
- 编写字典程序
- 精细化的思考
- 用科学的思维做最好的自己
- cocosbcx白皮书解读(一)|cocosbcx白皮书解读(一)| 区块链如何统一开发者、发行商、用户之间的利益
- java|java b2b2c shop 多用户商城系统源码- config 修改配置
- 003_难忘的中学时光_47_2_相亲三部曲_1
- Pytorch学习|sklearn-SVM 模型保存、交叉验证与网格搜索
- 借呗用户被银行拉黑贷不到款(马云(怪我咯?))
- 抓住外部用户的心智
- 运维|Linux 禁止用户或 IP通过 SSH 登录