我的问题很简单。我有一个面向服务的架构,其中一个服务器是身份验证服务器。用户在此服务器中使用 HTTPS 进行身份验证,然后使用令牌前往其他服务器获取服务。
我的解决方案是这样的:身份验证服务器将生成两个 cookie,一个带有用户的实际数据(用户 GUID/会话到期日期和权限),另一个带有加密令牌的 cookie,其中包括加密的实际数据(带有一些盐)用私钥。
系统中的每台服务器都将能够通过两个 cookie 和公钥来确保用户是它声称的样子。
我需要一个这样的代码示例(或者如果我遗漏了什么可能是一个更好的解决方案)