我的NodeJS应用程序正在通过第三方应用程序对用户进行身份验证。一旦应用程序获取用户数据,就会创建一个cookie并将其发送到客户端,然后做出反应就是从该Cookie中读取用户数据。
Cookie是否比Web令牌更好/更差? AFAIK没有差异,但我想确定。
有更好的实施吗?
用户可以修改req.session信息,还是留在后端(节点)?
答案 0 :(得分:0)
在cookie和基于令牌的方法之间进行选择真的取决于您的使用案例。使用Cookie时,会话ID存储在数据库中。因此,每个请求后端都需要执行数据库搜索以检查是否存在提供的id。使用令牌,服务器只需要处理成功的登录请求并验证令牌的有效性,这不需要很多资源并且可以很好地扩展。此外,使用令牌,您可以在浏览器环境之外使用您的API(在其他平台上,Cookie支持通常非常有限)。 如果这些要点对您的应用程序并不重要,那么使用基于cookie的身份验证没有任何问题。 祝你好运!