目前正在做老系统升级。 构建一套新系统前端页面,具有友好的操作。 后台对接老系统的数据库和较为复杂的业务接口。 最终目标是把老系统业务都迁移到新框架，并保持老系统的数据结构。面对这个情况，新系统框架要对接新的前端页面框架， 新的外围系统， 并且能调用老系统接口。 由于老系统权限不支持接口服务认证。 需要在新框架实现，新老系统权限各取长处。

经过梳理，权限的场景主要有以下四种.

第一种方式通过用户名/密码登陆,后session通过cookie绑定，每次业务请求时根据cookie获取session信息。可以集成其他系统的权限验证模块，主要提供用户识别，和session信息获取。

第二种方式是使用token，第一次请求获取token接口，输入用户名/密码，接入系统名称，token有效时间，会获取一个加密字符串token。业务请求时每次把token放入header中传入。后段根据token，再从缓存中获取session信息，放入请求数据中。

第三种方式类似token，也是接口调用。也提供两个接口，认证和session获取。认证时传入帐号/密码和会话id，认证通过后，获取session信息和传入的会话id绑定，放入缓存。下次业务请求时通过header传入会话id，后台识别并构造session放入会话中。和token的区别在于这种方式id是外系统指定的。

第四种方式是受信任系统之间传送，直接帐号session信息。免去了后台获取session的步骤，提升性能。