加簽/驗簽
是后端API之間相互調用的;
加簽:
即生成簽名;對於需要驗簽的請求,調用方提供secret、請求入參body,這兩者 通過某種加密算法A生成一個字符串str;str即生成的簽名;
驗簽:
str、access_token作為請求入參;
驗簽機制:將入參access_token和自己數據庫預置的access_token比對,有記錄則進行下一步,否則視為非法請求;access_token比對成功后,將str通過加密算法A的逆算法B解析出secret和請求入參body,解析出的secret和數據庫那行元組的secret比對,一致則ok,否則非法請求,至此請求驗簽結束。
抓住本質;
注意:accesskey/accesstoken不一樣
token
前端頁面登錄的;
登錄成功后,通過某種算法生成token字符串,存進Redis作為key,value為用戶數據;
本地cookie也存一份token,作為客戶端登錄的令牌,
每個服務登錄時拿着cookie中的token和公共緩存中的token比對,即為單點登錄;
postman調用:攜帶token,access_token,body,headers:Authorization;https://www.cnblogs.com/badboyh2o/p/11074968.html