第三方调用肯定不用API,直接用token访问就行了。如果是网站访问呢,是否也生成token,每次校验token,不用session,反正session也要丢到数据库里。
现在没有用oauth的那种复杂的方法,因为没有找到靠谱的第三方oauth provider for node.js。我就直接让用户登陆,然后生成一个token,以后就用这个token访问,反正调用api的程序是自家的。大家觉得这种方式安全不,求rest api专家。
第三方调用肯定不用API,直接用token访问就行了。如果是网站访问呢,是否也生成token,每次校验token,不用session,反正session也要丢到数据库里。
现在没有用oauth的那种复杂的方法,因为没有找到靠谱的第三方oauth provider for node.js。我就直接让用户登陆,然后生成一个token,以后就用这个token访问,反正调用api的程序是自家的。大家觉得这种方式安全不,求rest api专家。