鍍金池/ 問答/Java  HTML/ 前后端分離 接口請(qǐng)求時(shí)后臺(tái)怎么判斷登錄狀態(tài)

前后端分離 接口請(qǐng)求時(shí)后臺(tái)怎么判斷登錄狀態(tài)

前后端分離的項(xiàng)目:

登錄之后,前端會(huì)在瀏覽器緩存下用戶登錄信息;
每次請(qǐng)求會(huì)把用戶信息傳給后臺(tái);
而且都是get請(qǐng)求,參數(shù)都在鏈接上面;
現(xiàn)在只要把這個(gè)請(qǐng)求鏈接拷貝下來,另開一個(gè)頁面也是可以請(qǐng)求到數(shù)據(jù)的;
現(xiàn)在覺得這樣不安全,別人抓包就可以抓到數(shù)據(jù);
請(qǐng)問有沒有其他更好的方式,在請(qǐng)求接口的時(shí)候做是否登錄校驗(yàn)?
回答
編輯回答
遺莣
而且都是get請(qǐng)求,參數(shù)都在鏈接上面;
現(xiàn)在只要把這個(gè)請(qǐng)求鏈接拷貝下來,另開一個(gè)頁面也是可以請(qǐng)求到數(shù)據(jù)的;

可以把權(quán)限信息放header里比如token

現(xiàn)在覺得這樣不安全,別人抓包就可以抓到數(shù)據(jù);

說實(shí)話,無論怎么樣都能抓,抓了就能發(fā),要保證鏈路中的安全可以上https。

請(qǐng)問有沒有其他更好的方式,在請(qǐng)求接口的時(shí)候做是否登錄校驗(yàn)?

這個(gè)接口能不能被匿名訪問,或者是否只能被特定用戶訪問,這是后端本該存在的功能,如果不是公共資源,是必須做登陸驗(yàn)證的,這不是可選項(xiàng)。

2017年10月22日 21:26
編輯回答
九年囚

1.請(qǐng)求數(shù)據(jù)做加密處理
2.前端登陸后獲取后續(xù)請(qǐng)求唯一憑證保存在本地
3.對(duì)唯一憑證做校驗(yàn)和時(shí)間限制(可延長(zhǎng)時(shí)間)
順便說一下 都是get的是什么鬼 你們后端拉出去斃了

2018年5月12日 06:16
編輯回答
獨(dú)白

保存到cookie里啊

2018年9月10日 10:02
編輯回答
老梗

有,后臺(tái)提供另一個(gè)方式的校驗(yàn),跨域的時(shí)候常用的授權(quán)標(biāo)識(shí)字段就可以達(dá)到。很多提供第三方服務(wù)的平臺(tái)都是這么做的

2017年5月4日 09:31