Prérequis : L'utilisateur a réussi le processus de vérification de connexion.
Question : Alors comment l'utilisateur vérifie-t-il son identité lorsqu'il obtient ses données privées auprès du serveur ?
(Remarque : framework express utilisé pour le backend)
Utilisez une session ou un jeton Web JSON
session, écrivez l'identifiant de l'utilisateur dans la session
lorsque la vérification est réussie
req.session.user = user;
session !
session peut être stockée dans la mémoire du serveur ou dans un cache tel que Redis.
Il existe des bibliothèques de sessions tierces matures, dans lesquelles les sessions peuvent exister dans redis/database/local.
Vous pouvez enregistrer la session dans Redis comme ceci :
Utilisez sessionID pour créer un jeton et vérifiez ce jeton pour chaque demande
Négocier avec le backend pour ajuster l'interface, puis vérifier son identité dans le backend
Une fois l'utilisateur vérifié, certaines informations seront enregistrées en arrière-plan pour éviter une vérification répétée à l'avenir. La méthode couramment utilisée était la session, basée sur Cookie. Plus tard, la méthode Token a été progressivement développée, en utilisant Token pour remplacer la méthode Token. Seesion-Id dans Cookie. Le backend détermine la base des utilisateurs connectés, puis JWT (JSON Web Token) apparaît.
Mais cela dit, s'il y a des opérations vraiment importantes qui nécessitent une prudence particulière, il devrait y avoir une vérification en deux étapes, comme des mots de passe SMS aléatoires pour le paiement, et diverses applications de jeton de sécurité (ou mot de passe aléatoire), etc. Le plus simple est de demander une confirmation du mot de passe après s'être connecté pendant un certain temps pour effectuer des opérations de haute sécurité, telles que la suppression par les administrateurs de données importantes.