令牌与授权
令牌与授权
通常一个客户端程序访问服务端是需要一定凭证的,这个凭证可以是登录账号和密码信息;
一般登录成功后会将账号,登录时间,ip,授权码,授权来源封装成一个令牌。
授权码是一个唯一标识码,它由登录时间+ip+账号构成。可以被认为是个加密的签名。
每一次服务端交互连接时,会验证其令牌的有效性(登录是否过期,账号是否有效,ip是否被锁定),
其次通过令牌中解码获取账号,读取账号下的接口访问权限即角色操作权限、数据权限等。
如果该账号下的角色权限无效或不存在,则告知客户端访问失败的原因。验证接口权限后,将记录客户端请求信息(设备id,ip地址,来源,请求接口,账号等信息)。
最后才会调用接口并返回结果。
通常一个客户端程序访问服务端是需要一定凭证的,这个凭证可以是登录账号和密码信息;
一般登录成功后会将账号,登录时间,ip,授权码,授权来源封装成一个令牌。
授权码是一个唯一标识码,它由登录时间+ip+账号构成。可以被认为是个加密的签名。
令牌在登录成功后会告知客户端,并放入head请求文中。
每一次服务端交互连接时,会验证其令牌的有效性(登录是否过期,账号是否有效,ip是否被锁定),
其次通过令牌中解码获取账号,读取账号下的接口访问权限即角色操作权限、数据权限等。
如果该账号下的角色权限无效或不存在,则告知客户端访问失败的原因。验证接口权限后,将记录客户端请求信息(设备id,ip地址,来源,请求接口,账号等信息)。
最后才会调用接口并返回结果。
浙公网安备 33010602011771号