在做参数防篡改的时候,请求进来之后,需要在服务端根据用户token获取salt,来进行签名。如果这个接口是给前台和后台公用的,那么拿到token之后,怎么判断从前台用户表还是后台用户表里拿salt呢?或者有什么其他解决方案?
在做参数防篡改的时候,请求进来之后,需要在服务端根据用户token获取salt,来进行签名。如果这个接口是给前台和后台公用的,那么拿到token之后,怎么判断从前台用户表还是后台用户表里拿salt呢?或者有什么其他解决方案?
要求前端接口请求时候加上对应客户端请求头。
例如后台客户端请求,加上请求头 X-Client: admin-web
例如前台客户端请求,加上请求头 X-Client: mobile-web
如果无请求头自行看情况处理。可以默认请求头或者认为是非法请求
Token 中或者其他参数中携带一下相关信息。
比如可以再有一个 AccessKey
、AppKey
之类的参数,指明是前台还是后台。
再比如 Token 是 JWT,本身就带信息;甚至简单粗暴的 1
开头的是前台、2
开头的是后台,凑从生成 Token 的时候就确定下来这种格式。
方案不唯一,结合你自己的业务需求来做。
我是通过URL来判断的。比如说访问
/admin
前缀的url,那么我就用admin的用户表进行解析,其他默认用前台用户表进行解析。