前后端分离后台权限验证怎么处理啊

2015-06-11 08:51:48 +08:00
 delavior
想法是后台只返回数据,页面都由前端渲染和控制跳转,想问一下如果用java做后台权限验证怎么实现
之前的想法是用spring security,但现在页面如果由前台跳转的话,一跳转页面就会导致新建session,使得已经验证过的权限丢失。
请教一下用什么方式可以实现比较简单的权限验证
4209 次点击
所在节点    问与答
12 条回复
crs0910
2015-06-11 09:00:23 +08:00
单页,用router
Muninn
2015-06-11 09:08:15 +08:00
如果有做移动端的考虑
那么后端就是RESTful API
验证用oauth2
每个请求都要附带token
不去依赖session了
bugsnail
2015-06-11 09:14:58 +08:00
这个我也很想知道用PHP是怎么样实现的一个思路,最近有个需求类似二级密码的要求。
neilwong
2015-06-11 12:39:40 +08:00
登录成功后,把token写进cookie里,然后每次请求验证一下token就好了
delavior
2015-06-11 13:05:46 +08:00
@crs0910 不太懂啊
delavior
2015-06-11 13:06:46 +08:00
@Muninn oauth没用过,能简单说一下实现流程吗
delavior
2015-06-11 13:09:20 +08:00
@neilwong 这个好像比较简单,我试一下,谢谢
Muninn
2015-06-11 14:26:35 +08:00
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

不过"理解" 了 离写出来还很远...

各大语言和框架都有现成的轮子吧 但是据我观察服务端的轮子比客户端少很多..不是那么好找
yimity
2015-06-11 17:17:42 +08:00
你总是要登录的吧,登录之后总是要 ajax 拿数据的吧,那么你就和以前的验证机制一样就行了么。
iyangyuan
2015-06-12 08:37:23 +08:00
页面跳转为何会丢失session?session路径不对吧
delavior
2015-06-12 09:03:49 +08:00
@iyangyuan 不知啊,spring security自动管理的session,我没有做任何处理
neilwong
2015-06-14 14:08:25 +08:00
@delavior 一般session都会有一个session_name, 例如 v2ex的是:PB3_SESSION,然后每一个用户有一个唯一的 session_id,当用户第一次请求时就会按照 session_name:session_id 以key:value的形式写到cookie,这样每次请求,服务端就会根据session_id获取你的缓存内容,所以楼主可以根据这个流程检查下到底哪里出了问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/197673

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX