我们处理方式是用户每次api请求都return一个CSRF token，所以我们每次都verify CSRF token是不是来自真实用户的请求
然后我们cookie就存用户id
每次api请求首先verify CSRF token是不是有效请求，然后check用户id是不是有效id，都通过了，你就可以处理api request了，当然这些东西都是加密过的
这个当然是stateless的啊，因为authentication过程和api处理过程是分开的，你共享api完全没问题的
【 在 facilitator 的大作中提到: 】
: 多谢大神码着么多字
: 其实我问cookie是因为我的网页和xamarin(android+ios)要共用一部分API 不过xamarin的.net httpclient貌似自身不支持cookie的 所以对我自己的做法是不是有点非主流有点怀疑
: 我是半路出家 原本底子是vb.net 对数据的使用和理解比较路径依赖吧 习惯于.net entity framework + remote procedure call那套技术路线 所以搞nodejs还是造这种轮子
: ...................
--
修改:cnxs FROM 115.70.49.*
FROM 115.70.49.*