rest – 令牌验证和注销功能

在非常基本的令牌认证中,登录过程只提供凭证并获取令牌.使用RESTful API,令牌包含在标头中,用于任何API调用以暗示用户已登录.

我的问题是,退出程序会是什么样子?

>在服务器端删除令牌?如果用户要从网络注销但想要保持登录移动应用程序该怎么办?
>从客户端删除令牌?服务器应该强制执行吗?
>服务器应该如何使令牌失效?

如何实施注销机制?

最佳答案 我认为注销操作只会使服务器端的令牌无效(在数据库中删除它,将标志设置为过期,设置为false,…).如果要支持多种REST客户端,则应该能够指定要获取安全令牌的设备.在这种情况下,您可以单独使它们无效.

要提供设备类型,您可以设置标头用户代理或提供自己的标头.

也许这个链接可以帮助您设计令牌管理:http://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/.

你谈到了一种Web模式.对于这个用例(由于浏览器隐含地为您保存令牌,这有点特殊),我想您利用cookie.所以是的,对于这样的特定用例,相应的cookie也必须是无效的.

希望能帮助到你.
蒂埃里

点赞