token每次都变吧?
Server端存token在redis上吗?如果是的话感觉应该先校验用户id啊,多谢
【 在 cnxs 的大作中提到: 】
: 我们处理方式是用户每次api请求都return一个CSRF token,所以我们每次都verify CSRF token是不是来自真实用户的请求
: 然后我们cookie就存用户id
: 每次api请求首先verify CSRF token是不是有效请求,然后check用户id是不是有效id,都通过了,你就可以处理api request了,当然这些东西都是加密过的
: ...................
--
FROM 124.126.144.*