基于 Web API 令牌的身份验证
Web API token based authentication
我正在使用 Web API 和 Angular 开发一个 SPA 应用程序,并使用基于 Bearer Token 的身份验证进行身份验证和授权。
我的问题:
基本上,我们将从网络 api 获取令牌并将该令牌存储在本地/session 存储中,对于后续请求,我们将使用此令牌并通过 HTTP Header 传递给每个请求。这意味着服务器对特定 token/session 以及谁将发送该请求一无所知。我的问题是服务器如何识别来自哪个用户的令牌以及它将如何检查它是否是有效令牌。
通常,颁发令牌的服务器会跟踪颁发给哪个用户,因此会假定使用所述令牌发送的任何请求都来自同一用户。大多数时间令牌也有有效期,一旦过了该期限就会过期。这些信息大部分时间都存储在数据库中。
您应该查看 oauth 文档以获取有关此问题的更多信息。
无论如何,HTTP 并不是真正的无状态,请参阅此 SO post 了解更多信息。
我正在使用 Web API 和 Angular 开发一个 SPA 应用程序,并使用基于 Bearer Token 的身份验证进行身份验证和授权。
我的问题: 基本上,我们将从网络 api 获取令牌并将该令牌存储在本地/session 存储中,对于后续请求,我们将使用此令牌并通过 HTTP Header 传递给每个请求。这意味着服务器对特定 token/session 以及谁将发送该请求一无所知。我的问题是服务器如何识别来自哪个用户的令牌以及它将如何检查它是否是有效令牌。
通常,颁发令牌的服务器会跟踪颁发给哪个用户,因此会假定使用所述令牌发送的任何请求都来自同一用户。大多数时间令牌也有有效期,一旦过了该期限就会过期。这些信息大部分时间都存储在数据库中。
您应该查看 oauth 文档以获取有关此问题的更多信息。
无论如何,HTTP 并不是真正的无状态,请参阅此 SO post 了解更多信息。