在非常基本的令牌身份验证中,登录过程只提供凭据并获取令牌。使用RESTful API,令牌包含在标头中,用于任何API调用以暗示用户已登录。
我的问题是,退出程序会是什么样的?
如何实施注销机制?
答案 0 :(得分:2)
我认为注销操作只是使服务器端的令牌无效(在数据库中删除它,将标志设置为过期,设置为false,...)。如果要支持多种REST客户端,则应该能够指定要获取安全令牌的设备。在这种情况下,您可以单独使它们无效。
要提供设备类型,您可以设置标题user-agent或提供自己的标题。
也许此链接可以帮助您设计令牌管理:http://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/。
你谈到了一种网络模式。对于这个用例(由于浏览器隐含地为您保存令牌,这有点特殊),我想您利用cookie。所以是的,对于这种特殊用例,相应的cookie也必须无效。
希望它有所帮助。 亨利