有2台服务器的SNS应用程序 . Web后端服务器和REST API服务器 .
-
Web服务器允许用户使用用户名/密码登录/注销,并显示用户信息
-
REST API服务器提供了诸如/ topics,/ comments之类的API,它应该是无状态的,没有会话
-
REST API将为其他Web应用程序提供服务
有一些潜在的解决方案,但安全性也不是 .
-
Base Auth,浏览器保存用户名/密码
-
具有到期时间戳的令牌,问题是用户可能会留在页面上,直到令牌过期
那么,有没有办法在从AJAX调用它时保护REST API?
1 回答
如果我已正确理解您的问题,我建议您使用令牌解决方案 . 为了保持安全性,您可以在每个请求上生成新令牌(并将其发送给客户端作为响应),这应该用于发出下一个请求,如果曾经使用过期或已经过期,则禁用令牌 .
对不起,我打算将其作为评论提及,但我没有足够的声誉 .