单体应用
关系图
访问控制
简单示意图
简单介绍
身份认证方式
基于 cookie + session 的身份认证
- 登录时生成 session
- 返回
Set-Cookie
的 header,将 sessionId 存入浏览器 httpOnly
避免 js 读取该 cookie
- 返回
- 浏览器后续操作会将 sessionId 作为请求头中的 cookie 携带上
- 服务器会根据 sessionId 查找对应的 session,然后进行后续操作
基于 token 的身份认证
- 登录时生成具有时效的 token
- 返回该 token
- 后续请求将该 token 携带上
- 服务器根据该 token 判断是否认证过
建议用 https,避免 token 泄露