1、前后端分离,即服务端和前端只关心自己的事。
2、使用jwt作为api认证凭证
3、不废话,php版本的直接上教程和链接,超简单的。
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc
https://www.jianshu.com/p/dcdcf0f29f93
https://www.jb51.net/article/146790.htm
https://github.com/lcobucci/jwt/tree/3.3.1
4、jwt原理:通过http header 带上 cookie或者sessionStorage的jwt,然后服务端接受,并进行解码验证签名是否正确
5、服务端仅仅保留一个secret,注意这不是jwt,而是jwt加密的key 也就是hash里面的salt盐,让你拿到了我的header、payload也没用。
6、个人觉得jwt也不是很安全,除非使用https,其实你使用了https,裸奔数据都可以。
最好还是使用jwt,然后所有后端api都进行一套js加密,规则自己定,这样才能保证签名和数据两者都正确。