后端写成的API,前端通过AJAX来访问,使用用户登录后后端给的cookie用来给API鉴权可行吗?
发现大部分网站的API都是通过OAuth,还有token之类的,不知道怎么实现,为什么不通过用户登录的cookie来鉴权呢?有什么缺点么?
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
3
595
收藏
Cooke存储在客户端,因此有可能被篡改,所以不可靠。
当然也可以通过加密Cookie来改善,更改了Cookie就失效。
cookie是设计给浏览器使用的,非浏览器使用cookie非常费劲,有些爬虫都是模拟浏览器进行cookie传递的,所以就有oauth这种东西。cookie这种东西设计时还没需求要跨域,所以cookie只当作会话维持,没有权限维持的功能,token则属于专门的权限维持了,有没有会话都行,设计层次不一样