我正在为应用程序实现临时且非常简单的令牌式身份验证机制。
这个想法非常简单。每当用户登录到应用程序时,会向客户端返回一个令牌,该令牌将其存储在浏览器的sessionStorage数据结构中。
现在,每当我通过AJAX发出请求时,我都可以发送带有请求的令牌,服务器可以验证此令牌是否与身份验证或用户名相关联。如果是,它会正常解析请求,否则会返回或显示错误页面或初始页面。
我不确定这是否是在真实或严肃的应用程序中实现令牌式身份验证和授权的方式,但我现在不知道如何在执行GET请求时发送令牌单击视图的链接。
我唯一的想法是拦截获取请求,以便我可以用令牌填充它们,但这一切似乎都很奇怪,而且我已经有很多链接和视图。
答案 0 :(得分:2)
搜索Json Web Tokens以及java上的实现。这正是您所需要的。
如果要向用户发送jwt内部的一些敏感数据,请使用Json Web Encryption。
您可以在每个请求标头或请求参数
上发送该标记答案 1 :(得分:0)
您可以设置cookie,确保将其设置为httponly(如果您位于https网站上,则为安全),并在每次到达服务器的请求中读取cookie。
答案 2 :(得分:0)
您可以使用JWT令牌(请参阅https://jwt.io/introduction/)。 JWT基本上是一个JSON数据结构。通常,令牌在授权http标头中传递。