波波老师, 如果是web应用, client拿到token之后, 要返回给User-Agent(作为下次接口调用请求时使用)吗?
方案1:
User-Agent后续的访问使用sessionId?、client维护sessionId和token的关系;
方案2:
client拿到token之后,立即返回给User-Agent; User-Agent后续使用token跟client进行业务接口调用;
一般如何选择呢?
展开
作者回复: 授权码模式,令牌一般留在client端,不要流到user agent上去,这样更安全。在一些场景下,如业务需要,可使用方案一,在client端将web session和token关联起来。