我正在为移动应用程序开发人员构建一个 REST API,以便在使用 Zend 框架构建的 Web 应用程序上使用。我的第一个任务是创建用于身份验证/授权的服务。我在这里阅读了很多关于 SO 的相关问题,并想总结一下我在做什么:
- 不涉及会话或 cookie,因此检查用户登录状态的典型 Web 应用程序方法在这里不起作用。
- 对于每个登录请求,都会收到用户名和密码,并根据用户名生成随机字符串并保存在数据库中。此外,此字符串与身份验证请求一起返回。
- 此用户令牌与任何需要身份验证的请求一起发送。此令牌与 DB 中存储的值相匹配,如果匹配,则仅允许用户执行所需的任务。
- 注销时,数据库中的令牌值重置为空白或 NULL。
这是正确的方法吗?它不会使数据库过载,因为对于每个请求,都会在数据库上运行一个选择查询来检查令牌值吗?如果您能提供任何教程链接,将不胜感激。