我们目前正在制作基于角度的应用程序。所有信息都来自一个 api。
我们不想在客户端使用 cookie 等存储任何状态。因此,当用户刷新应用程序时,我们计划调用/account/detailswhich 将在登录时返回用户对象,而不是 false。
问题是,我们使用的安全模型是我们设置了一个auth-token(作为上述用户对象的一部分/account/details或成功/login调用的一部分返回),它在任何 api 请求的标头中发送。
api 检查auth-token标头中发送的this 是否与logged-in-users表中的内容匹配,如果匹配则发回数据。
显然,问题是,在刷新时我们没有在客户端保存任何东西,所以没有这个auth-token要发送了。
api,因为它在同一个域上,所以设置了一个 php session cookie。我们在想,只有对于这个account/details调用,我们才能将会话 cookie 值与表进行匹配。然而,这对我们来说听起来很狡猾。这样可以吗?还是有另一种更简单的方法来克服这种先有鸡还是先有蛋的情况?logged-in-users