WebApi Token安
WebApi 的 Token 安全机制,起来还挺顺的。用的是 ajax 配合用户名密码去拿access_token,后端用OWIN来发牌照,还能用refresh_token来续期。嗯,测试页面也给你整好了,叫click_me_please_iframe.html,点一下就能看效果,里头还自带刷新逻辑,省事。refresh_token 写成文件存着,下次直接拿,挺适合做自动登录或者免密操作那种场景。
开发环境是VS2015,虽然现在不新了,但调试OWIN还是蛮稳的。你如果在搞微信的 access_token 之类的,也可以借鉴这个逻辑,参考下面几个链接,顺手贴给你:
Ajax: 利用 Ajax 获取微信 access_token
node: node.js 微信开发:定时获取 access_token
JWT: JWT Token Refresh Bug Fix for Spring Cloud
注意哦,refresh_token的存储方式比较原始,是直接写文件的。如果你打算上生产,建议你做成数据库存储或者用 Redis 管理,别怕麻烦,安全第一。
如果你也在折腾access_token续期这块,可以参考下这个思路,思路不复杂,用起来还蛮方便的。
文件大小:31.91MB
评论区