授权令牌如何工作？

Question

我试图了解令牌系统如何在 Web api 和 Angular JS 之间工作以进行身份​​验证。如果我错了，请纠正我。令牌存储在数据库表中，并在我们的客户端应用程序中手动添加令牌以伴随我们从客户端发出的每个请求。谢谢。

Answer 1

如果您是 web API 的新手，我可以为您提供 web api 的高级种子项目。

这个项目将帮助您了解代币工作逻辑和许多其他主题，并让您更快地开发应用程序。

Web Api Advance Seed

Answer 2

如今，大多数令牌都是 JSON Web 令牌。 JWT 简介：https://jwt.io/introduction/。

1. 调用应用程序向令牌服务提供一些凭据并请求某些 API 的令牌
2. 服务生成一个令牌，其中包含一些声明，说明调用者是谁以及他们在 API 上可能拥有的权限
3. 服务使用数字签名对令牌进行签名（因此无法修改）并将其返回给调用应用
4. 然后调用应用程序可以将令牌附加到 API 的 AJAX 请求
5. API 可以通过验证数字签名来验证令牌
6. 如果令牌有效，API 可以从令牌中的声明中获取调用方信息

您不需要将令牌存储在服务端的任何位置。签名允许任何服务在没有数据库调用的情况下验证令牌。

Answer 3

正如@dee 所说，这取决于您使用的方法。您正在谈论的方法有以下步骤

1.向web api发送登录请求

2.如果成功在服务器端生成一个令牌并将其存储在数据库中并作为响应返回

3.在客户端将令牌存储在浏览器内存中的某处

4.使用$http Interceptors拦截每个api请求并将令牌附加到标头假设标头名称为x-access-token

5.在 api 端创建一些 custom aurization attribute 检查每个请求的 x-access-token 标头，从中获取令牌并在 db 中匹配它