微信小程序商城全栈开发 作业笔记 (十九)初识Token令牌
(到了这里,就有一点麻烦了,那我详细一点,有什么不对的地方可以留言给我)
API权限的控制
要确定用户身份,传统网站的用户登陆在这里做成Token令牌
用户在访问接口时,携带合法令牌才可以访问
首先,来看看我照着老师画的这几张流程图(只是大致的脉络)
1.用户携带账号和密码调用我们服务器的getToken接口,来获取令牌访问其他接口
2.携带令牌后,在下单接口比对令牌的这些属性,有些用户的身份可以访问接口,有些身份不可以
需要注意:
1.验证是否合法(有Token)
2.验证是否有效(Token不能过期)
3.验证是否有权限(Token对应的权限分组 有权限才可以访问)
我们的项目里令牌生成设计流程:
我们可以借助微信的权限体系来做我们自己的权限
我们需要通过这个Code码凭据到微信平台换取用户身份的标识
微信平台返回两个主要信息(openid session_key)
(要给每一个用户生成唯一的ID号(数据库可以生成UID),在这里用openid就可以实现)
openid是用户身份的唯一标识,微信支付也需要
session_key用于解密微信与客户端传递的一个变量(unionid,它不变,可以跨应用)
再将这些标识存储在数据库中
注意:openid不可以返回到小程序客户端(包含重要信息,没有过期时间),要通过Token令牌间接传递到客户端
(数据库存储openid,将Token和用户信息储存在缓存中,加以快速访问)
携带令牌访问接口
在服务器里校验层校验令牌(是在缓存里读取相关信息,并且校验)验证通过了就调用下单接口
好了,先到这里