普通的.net项目,前后端都是在一起的,登陆成功后可以直接session保存下用户信息。该session就是代表了用户。
如果前端是一个APP,而所有后台的数据交互都是用的webapi,包括登陆在内。webapi也是在登陆成功后用session记住该用户信息吗?如果不是,那是怎么像普通项目那样对应用户信息的呢?或者更好的方法是什么呢?
在ASP.NET中基于Owin OAuth使用Client Credentials Grant授权发放Token
http://www.cnblogs.com/dudu/p/4569857.html
ASP.NET Web API与Owin OAuth:使用Access Toke调用受保护的API
https://www.cnblogs.com/dudu/p/4572752.html
登录后把用户信息存到json里面通过接口传过去。
api返回给客户端吗?然后每次请求时,都来回传参。
@一禅·小和尚: emmmmm,是这个样子。
@徒然喜欢你: 好的,多谢,这就明白了。
app通过webapi验证都是通过token,token中包含了用户信息。
用户app请求服务器获得这个用户的token(token是由用户信息加密后的数据,具有时效性),用户拿着这个token去请求网站,网站解密出token信息,进行正常用户流程,解密不了说明token过期或者token是伪造的
客户端每次请求api,比如get方式,那就是bbb.com?token=*****。吗?这样是不是很容易暴露在了么
可以参照微信、支付宝的开放平台,看看别人怎么设计的