1. 防止非法请求: 使用token鉴权

⏱️ 5 分钟 步骤 1 / 3

鉴权指只有经过合法授权的用户才能调用我们的接口,常规的鉴权流程通常包含一些步骤:

  • 用户首先需要通过 OAuth平台手机短信验证账号密码 等方式进行登录;
  • 服务端校验账号,校验成功返回一个唯一token作为用户身份凭证,该 token 包含用户的一些基本信息;
  • APP将token缓存,同时登录成功;
  • 用户使用APP浏览数据,APP每次向服务端请求数据时须同时带上缓存的token,根据JWT规范,将token放在http报文头部的Authorization字段;
  • 服务端收到请求,首先会校验token的合法性,校验成功正常返回数据,校验失败直接返回错误。

基于token机制,服务端可以实现基本的鉴权逻辑。我们可以采用的是JWT 即 Json Web Tokenhttps://jwt.io)验证机制来实现以上过程。