我们有一家公司在为我们构建一个Web应用程序,他们想使用我们现有的网站进行身份验证。我已经写了一个登录表单,该表单对用户进行身份验证,并且需要发回一个令牌,供以后的所有呼叫使用。目前,我正在设置Cookie,然后将其重定向回他们的Web应用程序,但是我不确定这是否可行。另外,我需要测试自己构建的内容,但不确定如何重定向到登录页面并等待令牌响应。
nmhanq 回答:将用户重定向到另一个Web应用程序的登录表单,然后等待页面的响应(令牌)
基于令牌的身份验证是无状态的。您不会在服务器上或会话中存储有关用户的任何信息。 仅此概念就解决了必须将信息存储在服务器上的许多问题。
尽管此实现可能有所不同,但要点如下:
- 用户使用用户名/密码请求访问权限
- 应用程序验证凭据
- 应用程序向客户端提供一个已签名的令牌
- 客户端存储该令牌并将其与每个请求一起发送
- 服务器验证令牌并响应数据
此处更多信息The Ins and Outs of Token Based Authentication
以下是说明流程的信息图: