龙空技术网

接口平台需要考虑的权限认证场景

Robai代码实践 1672

前言:

眼前姐妹们对“token放入header”可能比较关怀,姐妹们都需要学习一些“token放入header”的相关知识。那么小编同时在网摘上汇集了一些对于“token放入header””的相关文章,希望同学们能喜欢,我们一起来学习一下吧!

目前正在做老系统升级。 构建一套新系统前端页面,具有友好的操作。 后台对接老系统的数据库和较为复杂的业务接口。 最终目标是把老系统业务都迁移到新框架,并保持老系统的数据结构。面对这个情况,新系统框架要对接新的前端页面框架, 新的外围系统, 并且能调用老系统接口。 由于老系统权限不支持接口服务认证。 需要在新框架实现,新老系统权限各取长处。

经过梳理,权限的场景主要有以下四种.

第一种方式通过用户名/密码登陆,后session通过cookie绑定,每次业务请求时根据cookie获取session信息。可以集成其他系统的权限验证模块,主要提供用户识别,和session信息获取。

第二种方式是使用token,第一次请求获取token接口,输入用户名/密码,接入系统名称,token有效时间,会获取一个加密字符串token。业务请求时每次把token放入header中传入。后段根据token,再从缓存中获取session信息,放入请求数据中。

第三种方式类似token,也是接口调用。也提供两个接口,认证和session获取。认证时传入帐号/密码和会话id,认证通过后,获取session信息和传入的会话id绑定,放入缓存。下次业务请求时通过header传入会话id,后台识别并构造session放入会话中。和token的区别在于这种方式id是外系统指定的。

第四种方式是受信任系统之间传送,直接帐号session信息。免去了后台获取session的步骤,提升性能。

标签: #token放入header