任何人都可以解释我如何使用React(或任何前端框架)作为入口点进行用户登录身份验证和授权,然后使用JWT身份验证(spring boot),并且令牌对于所有其他api调用仍然有效。用户。此外,如果用户关闭浏览器(如gmail或facebook),则令牌仍然有效,下次如果同一用户登录,则应直接重定向到主页。
答案 0 :(得分:1)
在我们理解之前,我们需要确切了解传统的基于HTTP的网站和移动设备之间的身份验证的区别。
Session或Token主要差异Session基于客户端浏览器环境。
浏览器代理会自动将Cookie包含到请求标头中。因此后端可以提取Session ID,一旦我们有了会话ID,我们就可以得到当前请求者的信息。
当我们离开浏览器环境时,每个API请求必须由我们自己给出一个身份验证令牌,因为HTTP协议是无状态的,因此我们需要指定一个令牌以允许服务器识别我们是谁。
JWT最大的优势是不可伪造的,并且可以携带一些非敏感信息。由于它是不可伪造的,每个后端应用程序都可以使用内部数据(例如用户ID)感觉很舒服,这对于构建分布式身份验证非常有用。虽然JWT有expired time,但是一旦我们需要撤销令牌,我们就需要持久令牌的状态。
这个答案可能不是一个确切的解决方案,但它可以帮助您选择合适的技术与所有平台进行身份验证。