1、前后端分離,即服務端和前端只關心自己的事。
2、使用jwt作為api認證憑證
3、不廢話,php版本的直接上教程和鏈接,超簡單的。
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc
https://www.jianshu.com/p/dcdcf0f29f93
https://www.jb51.net/article/146790.htm
https://github.com/lcobucci/jwt/tree/3.3.1
4、jwt原理:通過http header 帶上 cookie或者sessionStorage的jwt,然后服務端接受,並進行解碼驗證簽名是否正確
5、服務端僅僅保留一個secret,注意這不是jwt,而是jwt加密的key 也就是hash里面的salt鹽,讓你拿到了我的header、payload也沒用。
6、個人覺得jwt也不是很安全,除非使用https,其實你使用了https,裸奔數據都可以。
最好還是使用jwt,然后所有后端api都進行一套js加密,規則自己定,這樣才能保證簽名和數據兩者都正確。
轉載 :https://www.cnblogs.com/xuzhengzong/articles/11777850.html