方案一: UUID 当 token
token 放 redis 和数据库 登录过程采用 https 或者自定义的加密方式,返回 token+过期时间给客户端 ,并且此 token 可以标识用户。后续所有 api 调用都校验 token。 这样分布式部署应用的时候就无需考虑 session 问题,所有服务器统一从 redis 中获取校验 token 就好了
登录重新生成,过期失效,请求 IP 变化失效,修改密码失效,还有些安全规则失效
方案二:JWT
方案三:Oauth2.0
除了以上方案 欢迎大家分享你项目中使用的方案。