极客观点
项目管理
HarmonyOS
我用 react 写了几个页面,其中有几个页面是需要登录后才能够使用,我当前的判断方式是将获取到的 token 保存在浏览器的 localStorage 里,然后访问这些页面的时候,读取浏览器里是否有 token,然后将 token 发送到服务器验证。
我想请问,每次访问这些需要登录的页面,都会发一次到服务器做验证,这样的方式是不是太频繁了?还有其他更优越的方式吗?
我理解为这个页面本身是纯静态的或不需要登录态的,只是需要验证用户是否已登录才能跳转进入而已,是这个意思吗?否则的话你也不需要一个单独的验证接口了。
如果是这样的话,可以考虑引入非对称加密机制,客户端(即前端)持有公钥,服务端(即后端)持有私钥。
登录后把你的 token、过期时间还有别的什么的字段让服务端使用私钥加密后返回给前端,前端自行持久化,这个东西我们叫它 credentials 或者别的什么玩意儿。
后续判断是否已登录,只需要前端尝试使用公钥解密 credentials、看是否能取得相应的结构。由于是非对称加密,只要你服务端的私钥不泄露,客户端自己就无法篡改该数据。所以只要能解密成功,那就可以视为已登录;反之则是未登录。这样一来验证是否登录的逻辑完全不依赖于服务端,直到 credentials 过期为止。
事实上服务端常见的 JWT 方案就类似于此,只不过它是利用数字签名,减少了服务端查 DB 的频率(因为一般认为瓶颈都在 DB 上),而不是减少客户端给服务端发请求的频率。但原理是相通的。
当然了,前提是你们业务上没有什么作废一个 token、踢用户下线之类的逻辑,否则上述流程无法满足实时验证登录状态的要求。“实时验证”跟“减少验证”本身就是冲突的。
推荐问题
扁平化数组转换成树形?
背景:需要将扁平化数组转换成树形数组。比如原始数组如下: {代码...} 期望转换后的数据 {代码...}8 回答4.7k 阅读✓ 已解决
省市区街道数据在哪里可以下载?
省市区街道数据在哪里可以下载?6 回答3.4k 阅读✓ 已解决
两个promise问题?
第一个问题,这个为什么先输出3后输出2呢 {代码...} 第二个问题,这个为什么会交错输出呢,142536 {代码...} promise小白一枚,上述两个疑问,希望能得到详细的解答5 回答2.8k 阅读✓ 已解决
网站的不同域名互相跳转如何保持登录态?
一个网站部署了多个域名(不是子域名),比如:www.abc.com和www.aaa.com,如何从一个域名跳转到另一个域名的时候,仍然保持登录态呢?6 回答2.3k 阅读
Vue项目一个报错无法找到原因?
排查了好久实在没有找到哪儿出了问题,时不时弹出来,编译结果又是正常的,尝试排查了好久但是一直没有办法排查出来,有遇到过这种报错的同学吗?或者有没有同学提供一种排查思路,因为我真的搞懵逼了。哈哈哈。5 回答6.3k 阅读✓ 已解决
如何在JavaScript中从外部中断for循环的执行?
js中如何从外部中断for循环,起因是这段代码上层会反复进入这个for循环,每次进入的时候需要清除之前的执行效果,所以需要在循环外部来取消?大佬们知道如何做吗?4 回答2.3k 阅读✓ 已解决
Quartz如何根据cron表达式计算任务开始前发送通知的时间?
任务调度任务的执行时间是cron表达式,使用quartz定时器生成任务现在需要在每次任务开始前一定时间(例:1天、一周、15分钟)发送通知在不改前端的情况下。有什么好的做法实现吗。计算通知的cron,有点过于复杂,也没有找到工具可以使用4 回答2.8k 阅读✓ 已解决
宣传栏
额,这就属于你多想了,这算是 HTTP 的特性,因为其是无状态的,换句话说,如果没有 “Token” 一类的标识来进行区分,那对于服务器来说,每个请求都是 “陌生”。
如果没有 “Token” 服务器并不能知道,前一个请求跟后一个请求有什么关系,所以才需要每次都发送 Token 来证明:“你是你”。
况且,认证一个 Token 对于服务器来说,开销都很小。而对于客户端来说,传输的 Token 大小也没有什么可值得优化的。
对于类似于 JWT 的认证方式而言,甚至都不需要查库就能验证身份,而其他方式的也可通过缓存来减少 Token 的验证时间。
有,使用 Socket。这在浏览器环境下,有 WebSocket 可用,他的连接是有状态的,除非重新连接(一般发生的页面刷新后),当然,你也可以把它放到 Web Worker 里面,这样刷新页面也不影响,要发送请求的时候就从页面 postMessage 到 Worker 里面,然后 Worker 里面的 WS 再向服务端发送,但是,这样带来的麻烦就会变多了。
这些都是花活了,对于用户认证这个业务本身来讲,一般不太需要刻意的去做优化。