只需对每个请求使用访问令牌。不需要使用会话。以下是工作流程:
POST /signin
- 用户名和密码发布在客户端请求中。
- 服务器通过使用护照的本地策略对用户进行身份验证。请参阅本地护照。
- 如果凭据表示有效用户,则服务器返回由某些生成器生成的访问令牌。node-jwt-simple是一个不错的选择。
- 如果凭据无效,请重定向到
/signin
。
当客户端从授权服务器接收访问令牌时,客户端可以向服务器上的受保护资源发出请求。例如:
GET /api/v1/somefunction?token='abcedf'
- 客户端使用token参数调用某些服务器api。
- 服务器使用护照的承载策略对令牌进行身份验证。请参阅passport-http-bearer。
