我应该如何(如果有的话)在客户端封装访问令牌?
我应该如何(如果有的话)在客户端封装访问令牌?
提问于 2019-10-08 05:47:09
我正在启动一个新项目,它需要管理许多不同API的访问令牌。因此,我想知道向实现API调用的不同类提供访问令牌是一个好做法,还是应该更好地封装令牌。
目前,我认为有两种选择:
- 每个API类都构建自己的请求(主要是HTTPS请求),从身份验证接口获取访问令牌,并以API
- 所需的方式将该令牌添加到请求中--身份验证接口接受来自API类的请求,并在实际发送请求之前将令牌添加到请求中。
使用后一个选项,API类将永远看不到令牌,但是很难预见所有选项--如何将令牌添加到请求中(头、获取参数或完全不同的方式)。
在这种情况下,最佳做法应该是什么?
回答 1
Stack Overflow用户
发布于 2019-10-08 21:55:43
通常,访问令牌包含诸如“是此用户特权”之类的信息,以及其他超越身份验证的与授权相关的声明。
这意味着仅凭身份验证服务无法处理这些声明,API类需要能够看到它们。
因此,您的API类应该有机会向访问令牌添加声明。他们是否是构建令牌本身的人并不重要。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/58280773
复制相关文章
相似问题
腾讯云开发者
