我正在一个纯静态的电子商务网站上工作,没有像vue.js或react。这样的框架。
我还将有一个api(php)来管理JWT或cart的用户身份验证。
我的工作流程将如下:
- 用户转到auth.html
- 将电子邮件和密码发送到api
- api检查电子邮件/密码正确无误并发回jwt,其中存储了用户ID,名称...
我的pb是如何在前面显示该用户仍处于登录状态(例如,使用类似于John Doe的消息)?
也许与此工作流程有关:
- 用户转到auth.html
- 将电子邮件和密码发送到api
- api检查电子邮件/密码正确无误,然后将用户ID发送回jwt,
名称...已存储
- api还发送(不在jwt中)有关用户的基本信息
- 我创建一个cookie以存储那些具有相同到期日期的基本信息
- 在前面,我阅读了cookie,并动态添加了诸如Hello + user.name之类的味精
- 当登录用户从另一个页面在购物车中添加产品时,我也会通过ajax发送其user.id
- 在我的背面api中,我检查jwt中的用户ID存储区和cookie中的用户ID是否相同,以提高安全性
这是正确且安全的方法吗?