因为目前没有 session 和 token 的机制,所以无法辨别调用者的具体身份。
但是几乎每个操作都涉及用户身份判断,主要是鉴权,例如判断用户是否有权限处理这个信息,目前的做法是让调用方传入用户的 id 作为唯一凭证(因为双方用户是同步的)。
请教一下,这样做符合规范或者说合理吗。
如果想维持现状,不维护 session 和 token ,应该怎么做呢?
 |
1
rbe Oct 26, 2022
用户信息是同步的,可以考虑 jwt 吧
|
 |
2
coldmonkeybit OP @rbe 因为调用方是相当于直接在页面上调用我们的接口(他们后端转发一下),没有「登录」这个过程,所以不知道什么时候给他 token 呢
|
 |
3
kalista Oct 26, 2022
@coldmonkeybit 我猜楼上意思是你们去使用客户的 jwt ,不过我没这么干过
|
 |
4
xiaoming1992 Oct 27, 2022 via Android
或者你们直接模仿一套 jwt ,在平台注册时就把该接入方的相关信息和权限都写入 jwt 中,然后把 token 作为 appSecret 发给接入方,接入方凭此 token 来调用相关服务。
|
|
5
coldmonkeybit OP @xiaoming1992 谢谢,现在接入方通过 appId 就可以判断了,但是接入方是作为租户接入的,就像小程序接入小程序平台,但接入方在调用接口时的具体用户信息没办法获取到,现在是让他们在每次调用时直接作为参数传过来的...
|
Select Language