前言

最近的新項(xiàng)目中，用戶登錄需要采用cookie來(lái)記住用戶，校驗(yàn)身份。所以本文就把實(shí)現(xiàn)的過(guò)程總結(jié)出來(lái)分享給大家，需要的朋友們可以參考學(xué)習(xí)。

在header中攜帶authId登錄

在之前老的項(xiàng)目里，沒(méi)有采用cookie來(lái)記錄用戶登錄狀態(tài)，而是在請(qǐng)求的header中攜帶一個(gè)身份標(biāo)識(shí)來(lái)校驗(yàn)，大致方案如下：

1. 客戶端使用post請(qǐng)求提交user、password給服務(wù)端進(jìn)行登錄操作；
2. 服務(wù)端校驗(yàn)用戶是否合法，如果合法將產(chǎn)生一個(gè)唯一的身份標(biāo)識(shí)authId，返回給客戶端，客戶端將此authId存放本地(如localStorage)；
3. 客戶端在每次需要校驗(yàn)身份的請(qǐng)求中，往header中加入這個(gè)authId；
4. 服務(wù)端檢測(cè)當(dāng)前的authId是否有效，有效則表示當(dāng)前用戶合法，允許操作；
5. 客戶端用戶登出的時(shí)候，發(fā)送一個(gè)delete請(qǐng)求，告訴服務(wù)端用戶注銷，同時(shí)刪除本地的authId信息；
6. 服務(wù)端收到注銷請(qǐng)求后，刪除當(dāng)前的authId數(shù)據(jù)。

上面的方案，如果其他客戶端知道了這個(gè)authId后，可以在其他客戶端模擬身份，不安全，因此棄用。

用cookie記住用戶

新項(xiàng)目中，將采用此文即將介紹的方案