系统分两个主板块(三块业务API)
后端内部基础系统接口(该接口是开发者搭建系统框架需要的接口,不需要对外了解)
后端内部业务系统接口(该接口是为程序的主业务搭建的API,方便后端与前端的配合使用)
对外业务系统接口(该接口是程序的对外服务)
系统前后端API交互使用token,该标准以下
1、将token置于请求头中,而cookie是不支持跨域访问的;
2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session;
3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可;
3、避免CSRF跨站伪造攻击,还是因为不依赖cookie;
二、基于JWT的token认证实现
JWT:JSON Web Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature