RESTful API是不是最好不要用cookie login？

水木社区手机版

主题:RESTful API是不是最好不要用cookie login？
7楼|dagon|2016-12-28 07:46:55|展开
如果是相同的信息，理论上用相同的加密方式，token是不会变的。所以需要你放入一些会改变的信息，如过期时间等，这样token才会不一样。
我看过一篇很长的写jwt的文章，理论上token是不用储存的，因为token自己可以含有非常多的信息。比如可以在用户表储存个登陆时间，然后生成token时放进去。然后验证token时，用token的id查到用户，证明用户存在。然后比对最后登陆时间等信息，证明是有限请求。

【在 sitepenfan () 的大作中提到: 】
: token每次都变吧？
: Server端存token在redis上吗？如果是的话感觉应该先校验用户id啊，多谢
:
: 【在 cnxs 的大作中提到: 】
--
修改:dagon FROM 39.177.181.*
FROM 39.177.181.*
8楼|dagon|2016-12-28 08:37:29|展开
看了半天，你这里问的问题和另一个帖的问题。我说说我的理解。
第一种就是另一个帖子中回复生成独一无二的token，并在服务器中保存。他提出token中不包含任何真实数据。这种做法是可行的，就像你说的每次生成随机密码加密。我个人理解你们这种加密是不可逆的，需要在服务端存储token并进行比对。
第二种是所谓的jwt模式，json web token。将信息以json的形式储存到token中，比如用户id和过期时间等。这种token是可逆的，在服务器上配置好公钥和私钥，可以将用户的token揭秘成json格式的信息。然后去比对用户的id是不是真实的，token有没有过期。这种token是不用储存在服务器的数据库或者redis中的。过期时间也不用在服务器端储存。你说的破解token的有效时间的问题。如果对方没有你的私钥，理论上他修改的token你这里解密不了，因此可以判断token被修改了。

【在 facilitator () 的大作中提到: 】
: 多谢指点
:
: 我原本也是想每个api请求都验证token 然后把token替换成新的不过细想之后发现如果用户并发请求的话就会出bug了所以只好在用户每次login时生成一个token一直用但是每次api请求会换了一个随机密码加密以便让token看起来每次都不一样防止破解其中的过期时间
:
--
修改:dagon FROM 39.177.181.*
FROM 39.177.181.*