• 西兹兹
    2018-12-29
    波波老师, 如果是web应用, client拿到token之后, 要返回给User-Agent(作为下次接口调用请求时使用)吗?

    方案1:
    User-Agent后续的访问使用sessionId?、client维护sessionId和token的关系;

    方案2:
    client拿到token之后,立即返回给User-Agent; User-Agent后续使用token跟client进行业务接口调用;

    一般如何选择呢?
    展开

    作者回复: 授权码模式,令牌一般留在client端,不要流到user agent上去,这样更安全。在一些场景下,如业务需要,可使用方案一,在client端将web session和token关联起来。

    
    
我们在线,来聊聊吧