单体应用

关系图

image.png


访问控制

简单示意图

item.jpg

简单介绍

Api 安全 - 图3

身份认证方式

基于 cookie + session 的身份认证

  • 登录时生成 session
    • 返回 Set-Cookie 的 header,将 sessionId 存入浏览器
    • httpOnly 避免 js 读取该 cookie
  • 浏览器后续操作会将 sessionId 作为请求头中的 cookie 携带上
  • 服务器会根据 sessionId 查找对应的 session,然后进行后续操作

基于 token 的身份认证

  • 登录时生成具有时效的 token
    • 返回该 token
  • 后续请求将该 token 携带上
  • 服务器根据该 token 判断是否认证过

建议用 https,避免 token 泄露


数据安全

Api 安全 - 图4