作者:weijun520 | 来源:互联网 | 2023-06-02 15:05
客户端登录后,生成一个 uuid 作为 token 并通过1token:user_id的方式添加到 redis 缓存中。在请求接口的时候,获取客户端传递过来的 token,查找缓存获取 user_id
客户端登录后,生成一个 uuid 作为 token 并通过
的方式添加到 redis 缓存中。
在请求接口的时候,获取客户端传递过来的 token,查找缓存获取 user_id 进而获取用户信息,处理请求。
那么问题来了,在这一过程中,如何验证 token 是否合法呢?例如:我也随机生成 uuid,然后将其作为 token 去请求接口,如果恰好命中了缓存中存在的 token,在有效期内就能用这个 token 去请求接口了!
而且我抓包看了几款应用,发现他们在请求接口的时候也只是传递了 token,并没有添加签名信息之类的。
京公网安备 11010802041100号