如何实现前后端分离架构中,从Session到Token的转换方案?
- 内容介绍
- 文章标签
- 相关推荐
本文共计560个文字,预计阅读时间需要3分钟。
系统应用架构的发展,从早期的单体架构,逐渐发展到如今前后端分离的架构(很大程度上得益于移动互联网的快速发展)。在开发模式上,也从早期的前后端分离,发展到如今需要编写演译。
系统应用架构的发展,从早期的单体架构,发展到现在基本上都是前后端分离的架构(很大程度上是因为移动互联网的飞速发展)。开发模式上,也从早期的程序员前后台都需要写,演化成现在分为前端开发工程师和后端开发工程师。具体如下图所示:
前后端分离之后,就会面临着很多问题,之前传统的session认证方式,对移动端的支持有限,尤其是安全层面的问题。传统用session进行登录流程如下:
而用session做认证,容易遭受CSRF的攻击,如下图最经典的银行转账案例:
而CSRF有两个经典的解决方案:
其一、验证HTTP Referer 字段
根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。
本文共计560个文字,预计阅读时间需要3分钟。
系统应用架构的发展,从早期的单体架构,逐渐发展到如今前后端分离的架构(很大程度上得益于移动互联网的快速发展)。在开发模式上,也从早期的前后端分离,发展到如今需要编写演译。
系统应用架构的发展,从早期的单体架构,发展到现在基本上都是前后端分离的架构(很大程度上是因为移动互联网的飞速发展)。开发模式上,也从早期的程序员前后台都需要写,演化成现在分为前端开发工程师和后端开发工程师。具体如下图所示:
前后端分离之后,就会面临着很多问题,之前传统的session认证方式,对移动端的支持有限,尤其是安全层面的问题。传统用session进行登录流程如下:
而用session做认证,容易遭受CSRF的攻击,如下图最经典的银行转账案例:
而CSRF有两个经典的解决方案:
其一、验证HTTP Referer 字段
根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。