問(wèn)題描述

前提：用戶已經(jīng)經(jīng)過(guò)登錄驗(yàn)證這個(gè)環(huán)節(jié)。問(wèn)題：那么用戶再向服務(wù)端獲取自己私有的數(shù)據(jù)時(shí)，如何來(lái)驗(yàn)證他的身份呢？（備注：后端用的express框架）

問(wèn)題解答

使用session 或者 json web token

cookie [http://wiki.jikexueyuan.com/project/node-lessons/cookie-session.html][1]session是基于cookie的服務(wù)端技術(shù)回答3：

session,把用戶id寫入session驗(yàn)證成功時(shí)req.session.user = user;

session!session可以存在服務(wù)器內(nèi)存或者redis這樣的緩存里。有成熟的第三方session庫(kù),其中session可以存在redis/數(shù)據(jù)庫(kù)/本地。你可以這樣，將session存到redis中：

var session = require(’express-session’);var RedisStore = require(’connect-redis’)(session);app.use(session({ store: new RedisStore({host: CONF.REDIS_URL(),port: 6379 }), secret: ’keyboard cat’, resave: false, saveUninitialized: false, cookie: {maxAge: 14400000}}));回答5：

用sessionID做一個(gè)token，每次請(qǐng)求都檢查這個(gè)token

和后臺(tái)協(xié)商，調(diào)接口的時(shí)候，然后后臺(tái)去驗(yàn)證，他的身份

用戶驗(yàn)證通過(guò)之后會(huì)在后臺(tái)保存一定的信息來(lái)避免后期重復(fù)驗(yàn)證，以前常用的方法是 Session，Session 是基于 Cookie 的，后來(lái)逐漸發(fā)展了 Token 方式，使用 Token 來(lái)代替 Cookie 中的 Seesion-Id，作為后端判斷登錄用戶的依據(jù)，再然后出現(xiàn)了 JWT(JSON Web Token)。

不過(guò)話說(shuō)回來(lái)，如果確實(shí)存在非常重要需要特別謹(jǐn)慎的操作，應(yīng)該會(huì)有二次驗(yàn)證，比如付款的隨機(jī)短信密碼，以及各種安全 Token (或隨機(jī)密碼) App 等。最簡(jiǎn)單的就是在登錄一定時(shí)間之后要求再次輸入密碼確認(rèn)進(jìn)行高安全性操作，比如管理員刪除重要數(shù)據(jù)之類的操作。