V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hoythan
V2EX  ›  程序员

前后端分离项目 AccessToken 验证机制设计问题

  •  
  •   hoythan · 2018-02-26 11:25:18 +08:00 · 3778 次点击
    这是一个创建于 2469 天前的主题,其中的信息可能已经有所发展或是发生改变。

    简单画了一个流程图,帮忙看下设计上有什么问题吗?

    https://www.processon.com/view/link/5a8fba84e4b0615ac05cc2c2

    这种方案常见吗?大家一般都是什么设计方式~

    notreami
        1
    notreami  
       2018-02-26 15:26:12 +08:00
    sign 是个坑,万一用户时间和服务时间就是相差 5 分钟呢?一直不让登陆?
    solee
        2
    solee  
       2018-02-26 16:04:20 +08:00
    前端登陆 -> 发 jwt token
    前端访问服务带上 token 过来验证就行了。因为我们服务设计都是无状态,不需要 token 中带上状态信息。
    然后控制下 token 的过期时间或者过期模式就差不多了
    hoythan
        3
    hoythan  
    OP
       2018-02-26 18:28:07 +08:00
    @solee token 啥信息都不带,只是一个 非常单纯的 key
    hoythan
        4
    hoythan  
    OP
       2018-02-26 18:29:33 +08:00
    @notreami 对一些要求严格的可以加 sign,不加的话也行,时间可以精确到分,时甚至天或者月。也就是这个地址一个月后会失效
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2785 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:45 · PVG 13:45 · LAX 21:45 · JFK 00:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.