能否提供个前后端分离的例子

JWT 呀

JWT

我自己的项目是 jwt + redis 做身份认证

@throns
@pkaq
@biabia123456 谢谢，我查查去。不知道有例子没有

一般后端接口前面有一层网关，后端接口不验证身份，网关验证后放行。

[不要用 JWT 来做 Web 应用的会话管理
]( https://blog.m31271n.com/2017/07/22/%E4%B8%8D%E8%A6%81%E7%94%A8-JWT-%E6%9D%A5%E5%81%9A-Web-%E5%BA%94%E7%94%A8%E7%9A%84%E4%BC%9A%E8%AF%9D%E7%AE%A1%E7%90%86/), lz 参考

后端：留一个固定的接口返回 token ；
前端：请求头里面加 token，其他不变

@whypool 后端不是还要验证 token ？

@server 哥哥，那应该用什么啊？

jwt 简单易用 文档遍地

@chinesedragon 用 Token，只是不要用 JWT 吧。
JWT 的好处是不需要后端再存储 Token，收到 Token 之后验证 token 有效，就能获得用户信息，比如 id 之类的。
问题在于后端没法强行让 token 失效，比如用户修改了密码，用户要求在所有设备都退出登录之类的。。。
我个人比较喜欢开一个 redis 存储 token，用户登录成功后，后端生成一个 token （指定位数的随机字符串）返回给前端，同时存储在 redis 里（包含对应的用户 id 之类的）。前端后续所有请求都带上这个 token，后端收到 token 后到 redis 里去取用户信息。

如果项目是 all in one 的设计的话，狭义前后端分离其所没有什么意义，反而会让简单项目变的复杂。

@kanezeng 前端存储 token 是不是放在 cookie 里啊？

@hcymk2 为什么呢，原因呢？

@kanezeng 还有 token 一般都放在 header 的哪个里呢？

@chinesedragon 归根到底还是 session 的路子，自己造这个轮子。单点登录，多终端登录

@server 已经上了 jwt 的船了，也不下去了。。。

@kanezeng 我是通过再把 token 存在 redis 实现 token 失效验证的 感觉没什么大问题

@chinesedragon 前端通常可以存在 localStorage。提交的时候就看和后端的约定了，常见的比如放在 header 里的 Authorization 字段，也有比如 POST 请求的 BODY 里提交的。

@biabia123456 这个倒是个不错的方法，不过这样的话 JWT 原有的优势就没有了吧