我正在构建一个将从 JavaScript 客户端使用的 PHP REST API,并且在弄清楚如何实现事物的身份验证和访问方面时遇到了一些问题。将有多个应用程序将使用我将开发的 JavaScript 库与我的应用程序进行对话和交互。我将为他们每个人提供 API 密钥,所以这不是问题。
我开始感到困惑的是如何让这些网站上的用户对我的应用程序进行身份验证。让这个外部站点存储我的用户帐户和密码信息似乎是个坏主意;所以,我想我应该让我的 JavaScript 库包含一个登录小部件,该小部件为我的应用程序询问用户的帐户信息。
如果身份验证在那里成功,因为我正在使用 REST API,我需要将检索到的令牌存储在客户端 cookie 或其他东西中,这样用户就不需要在每个页面上再次登录到我的应用程序外部站点。但是,如果用户从外部站点注销,然后另一个用户从同一个浏览器登录,会发生什么情况?就我的 JavaScript 库而言,旧用户仍会登录到我的应用程序,因为 cookie/令牌尚未过期 - 当前一个用户的会话结束时,如何清除我的 cookie?或者,我在这里完全偏离了正确的道路吗?
所以,我认为这个过程会是这样的:
var token; // Some hashed string containing an expiration date and user id
var apiKey = '123abc';
// Read the cookie and check if it already contains the token
token = readCookie('token');
if (token == '') {
// get username and password from user through some prompt
var request_data = {apiKey: apiKey, user: username, pass: password};
$.post('https://service.com/api/user/login', request_data, function(data) {
token = data;
document.cookie = "token=" + token;
});
}
...
var get_data = {apiKey: apiKey, token: token};
$.get('http://service.com/api/<object>', get_data, function(data) {
// Do something with data
});
抱歉,这里隐藏了几个问题。我想主要是如果我将令牌存储到 cookie 中,我如何确保在用户注销外部应用程序时清除它?或者,如果我不应该将其存储到 cookie 中,如何让客户端了解用户的状态?