SPA应用中的令牌认证

Question

我开始了新项目。学习新概念是小型应用（游乐场）。我将使用Ruby on Rails和使用React的单页面应用程序创建后端API。我坚持认证。我想创建基于令牌的自定义授权/授权。我来跟随认证流程：

1. 用户填写密码/登录并使用Ajax和安全的HTTPS连接发送给支持。
2. 支持检查用户是否存在于DB中。如果用户存在后端，则创建令牌并使用用户ID保存到Redis。
3. 使用令牌向客户端应用程序的后端响应。
4. 在客户端，我将以上令牌保存到本地存储。
5. 在每次请求之前，我将从语言环境存储中获取令牌并传递给请求标题。
6. 在后端，我将从标头中获取令牌并检查是否存在于Redis数据库中。

此流程是否正确？我应该在客户端解密令牌还是没有必要？这个项目只是游乐场，但我想做得恰到好处。如果上述流程不够好，请给我一些评论。

Answer 1

我认为你有正确的方法。此链接可以为您提供有关基于令牌的身份验证的更多详细信息：

• 使用针对RESTful应用程序的令牌实施身份验证 - https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/

希望它可以帮到你， 亨利