我正在为需要用户身份验证的应用程序设计 rest api。身份验证基于用户名/密码,登录后,服务器返回一个 access_token 以放入所有未来请求的 http 标头中。
对于每个请求,我创建了一个过滤器来检查 http 标头中的 access_token 参数: - 如果存在,我必须检查参数是否与系统创建的相同 - 如果不存在,过滤器将返回 401 Unauthorized。
RESTful ws 是无状态的,所以我想了解有关 access_token 管理的最佳实践。我正在考虑将 access_token 存储在数据库中,但登录后的请求数量可能很大,所以我认为每个请求对数据库的查询过于昂贵。
您建议采用哪种方法?谢谢你。