問題描述

前提：用戶已經(jīng)經(jīng)過登錄驗證這個環(huán)節(jié)。問題：那么用戶再向服務(wù)端獲取自己私有的數(shù)據(jù)時，如何來驗證他的身份呢？（備注：后端用的express框架）

問題解答

使用session 或者 json web token

cookie [http://wiki.jikexueyuan.com/project/node-lessons/cookie-session.html][1]session是基于cookie的服務(wù)端技術(shù)回答3：

session,把用戶id寫入session驗證成功時req.session.user = user;

session!session可以存在服務(wù)器內(nèi)存或者redis這樣的緩存里。有成熟的第三方session庫,其中session可以存在redis/數(shù)據(jù)庫/本地。你可以這樣，將session存到redis中：

var session = require(’express-session’);var RedisStore = require(’connect-redis’)(session);app.use(session({ store: new RedisStore({host: CONF.REDIS_URL(),port: 6379 }), secret: ’keyboard cat’, resave: false, saveUninitialized: false, cookie: {maxAge: 14400000}}));回答5：

用sessionID做一個token，每次請求都檢查這個token

和后臺協(xié)商，調(diào)接口的時候，然后后臺去驗證，他的身份

用戶驗證通過之后會在后臺保存一定的信息來避免后期重復(fù)驗證，以前常用的方法是 Session，Session 是基于 Cookie 的，后來逐漸發(fā)展了 Token 方式，使用 Token 來代替 Cookie 中的 Seesion-Id，作為后端判斷登錄用戶的依據(jù)，再然后出現(xiàn)了 JWT(JSON Web Token)。

不過話說回來，如果確實存在非常重要需要特別謹(jǐn)慎的操作，應(yīng)該會有二次驗證，比如付款的隨機(jī)短信密碼，以及各種安全 Token (或隨機(jī)密碼) App 等。最簡單的就是在登錄一定時間之后要求再次輸入密碼確認(rèn)進(jìn)行高安全性操作，比如管理員刪除重要數(shù)據(jù)之類的操作。