我对某件事感到困惑。我在php中做了一个restful api,其入口点是index.php。
现在重点是用户将登录随机生成的令牌发送给用户,然后对于任何请求(接收html页面或json数据),用户必须发送带有请求的令牌,否则用户将获得401,未经授权的响应。
现在,当用户进行ajax调用时,必须通过http标头发送令牌;而且没有问题。但我的困惑是当用户要求提供html页面(例如report.html)时,用户如何在访问页面之前发送令牌以验证他/她自己?
目前我的解决方案如下:
http://host/app-name/page/token
这是正确的方法吗?
对于您的信息,无需令牌即可访问登录页面。