PHP令牌认证 - 到期

时间:2016-12-22 03:39:35

标签: php rest api authentication

我有一个混合SPA php Web应用程序,可以根据需要调用远程REST API。我开始在Web服务器和api之间实现令牌认证,我不太确定如何处理令牌的到期。我的设计也可能存在一些缺陷。

  1. 用户将登录凭据(用户名和密码)提交给Web服务器。
  2. Web服务器向API发送调用。
  3. API查找信用卡。如果好,则生成JWT Auth令牌并返回到令牌存储在php会话变量中的Web服务器。该令牌永远不会公开。
  4. Web服务器向api发出的每次调用都会发送一个包含从会话中提取的令牌的授权标头的请求。

    5. 我的问题是,如果一个新令牌在传入请求期间已过期,那么发布新令牌的最佳方法是什么。 api检查每个请求的令牌以确定它是否有效以及它是否已过期。例如,如果请求API是GET foo / bar,期望返回JSON字符串,但令牌已过期,那么预期的行为是什么?

    希望这是有道理的。如果我不够清楚,请告诉我。没有太多运气研究这种特殊情况。

0 个答案:

没有答案
相关问题
最新问题