当用户登录API(不是必需的身份验证类型,但我们将谈论JWT)时,他尝试再次登录API应该返回success
并返回相同或刷新的会话或令牌。
但是有一个问题:用户名/密码组合有效吗?
因为是,所以我们需要它的查询数据库,当我们已经知道给定的请求已“记录”时,这毫无意义。
示例:我有基于JWT的身份验证的API。让我们通过电子邮件/密码组合登录,服务器返回Bearer token
。然后再次发送请求(标题中带有Bearer),但使用不同的密码或电子邮件。服务器应该返回fail
(401)还是success
?服务器获得有效的JWT,但信用无效。