令牌验证和注销功能

时间:2015-01-09 18:30:27

标签: rest authentication token

在非常基本的令牌身份验证中,登录过程只提供凭据并获取令牌。使用RESTful API,令牌包含在标头中,用于任何API调用以暗示用户已登录。

我的问题是,退出程序会是什么样的?

  • 在服务器端删除令牌?如果用户要从网络注销但想要保持登录移动应用程序该怎么办?
  • 从客户端删除令牌?服务器应该强制执行吗?
  • 服务器应如何使令牌失效?

如何实施注销机制?

1 个答案:

答案 0 :(得分:2)

我认为注销操作只是使服务器端的令牌无效(在数据库中删除它,将标志设置为过期,设置为false,...)。如果要支持多种REST客户端,则应该能够指定要获取安全令牌的设备。在这种情况下,您可以单独使它们无效。

要提供设备类型,您可以设置标题user-agent或提供自己的标题。

也许此链接可以帮助您设计令牌管理:http://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/

你谈到了一种网络模式。对于这个用例(由于浏览器隐含地为您保存令牌,这有点特殊),我想您利用cookie。所以是的,对于这种特殊用例,相应的cookie也必须无效。

希望它有所帮助。 亨利