SPA 应用程序中的令牌认证

Question

我开始了新项目。这是学习几个新概念的小应用程序（游乐场）。我将使用 Ruby on Rails 创建后端 API，使用 React 创建单页应用程序。我卡在身份验证中。我想创建自定义的基于令牌的授权/授权。我来到以下身份验证流程：

1. 用户填写密码/登录名并使用 Ajax 并通过安全的 HTTPS 连接发送到后台。
2. 支持检查用户是否存在于数据库中。如果用户存在后端，则创建 Token 并使用用户 ID 保存到 Redis。
3. 带有令牌到客户端应用程序的后端响应。
4. 在客户端，我会将上述令牌保存到本地存储。
5. 在每次请求之前，我都会从语言环境存储中获取令牌并传递给请求标头。
6. 在后端，我将从标头中获取令牌并检查 Redis 数据库中是否存在。

这个流程正确吗？我应该在客户端解密令牌还是没有必要？这个项目只是游乐场，但我想正确地做它。如果上面的流量不够好，请给我一些cmets。

Answer 1

我认为你的方法是正确的。此链接可以为您提供有关基于令牌的身份验证的更多详细信息：

• 使用 RESTful 应用程序的令牌实现身份验证 - https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/

希望对你有帮助 蒂埃里