1. 防止非法请求: 使用token鉴权
鉴权指只有经过合法授权的用户才能调用我们的接口,常规的鉴权流程通常包含一些步骤:
- 用户首先需要通过
OAuth平台
、手机短信验证
、账号密码
等方式进行登录; - 服务端校验账号,校验成功返回一个唯一
token
作为用户身份凭证,该token
包含用户的一些基本信息; - APP将
token
缓存,同时登录成功; - 用户使用APP浏览数据,APP每次向服务端请求数据时须同时带上缓存的
token
,根据JWT规范,将token
放在http报文头部的Authorization
字段; - 服务端收到请求,首先会校验
token
的合法性,校验成功正常返回数据,校验失败直接返回错误。
基于token
机制,服务端可以实现基本的鉴权逻辑。我们可以采用的是JWT 即 Json Web Token
(https://jwt.io)验证机制来实现以上过程。