Notre entreprise prévoit d'utiliser la séparation front-end et back-end pour les projets Afin de maintenir le statut de connexion du front-end et du front-end, j'ai beaucoup lu sur Internet sur l'utilisation de jetons pour. maintenir la connexion. Maintenant, je peux stocker directement le md5 (id de session) dans le jeton ? Quel est le problème ?
Essentiellement, le front-end crypte les données pour réduire la lisibilité, comme les données sensibles de l'utilisateur, à des fins de protection de la vie privée. Si vous transmettez le seesion_id, il n'est pas nécessaire de le chiffrer. Quant à la méthode md5 mentionnée ci-dessus, elle est fausse (pour passer seesion_id), car le seesion_id lui-même est utilisé comme clé, et md5 est une méthode de hachage (irréversible). Si le backend souhaite l'utiliser, elle peut être utilisée directement. . Venez l'utiliser, vos couches de md5 n'ont aucun sens (s'il est détourné, utilisez-le directement)
.Le problème du jeton que vous avez mentionné réside dans la manière dont le backend implémente la partie authentification, qu'il s'agisse de restaurer la session pour stocker des informations ou d'utiliser le jeton pour vérifier l'autorité d'appel de l'interface. Cela varie en fonction de la manière dont le backend est implémenté.
La session est enregistrée par un cookie placé dans le navigateur et s'appuie sur le délai d'expiration du cookie du navigateur pour contrôler le temps de conservation de la connexion (point de vue client).
Pour le reste du contenu, veuillez vous référer à cette session cookie vs token
Cryptez quelques couches supplémentaires, un md5 est trop simple.
Jeton, vous pouvez simplement avoir la date cryptée MD5 lors de la connexion, puis la jeter dans Redis, puis la bloquer dans l'intercepteur pour porter un jugement
Tant qu'aucun contenu sensible (mots de passe, etc.) n'est stocké, il n'y a aucun problème pour moi. Il est recommandé d'utiliser le populaire jwt. Il existe des bibliothèques implémentées dans différents langages et il est très pratique à utiliser.
L'identifiant de session n'est qu'un jeton et md5 est redondant.
?sessionid
N'est-ce pas un jeton crypté en texte clair Il n'est pas nécessaire de le md5C'est tout à fait bien, utilisez jwt. Faites attention à vérifier la légalité du jeton.