1回答

JoJo

2021-03-01

我们的做法是认证是两套应用，两套数据库，分别认证两套账号体系，认证完以后，处理jwt的生成和校验是一套服务，token里有字段标明用户类型。

0

1

奋斗的小鸟丷

老师，还是有一些疑问： 1、那这样，前台和后台可以做到SSO么？ 2、目前我司是从网关做统一鉴权的，如果分别认证两套账号体系，这么做是不是就不太好处理了？ 3、对于前后端分离项目，client_id和client_secret到底是前端传过来，还是写死在后端。 4、像京东、淘宝、支付宝它们的web端或是移动端的登陆都是通过什么技术，也是oauth登陆机制吗？我看了好多的知名网站，在它们的登陆请求中根本看不到什么用户名、密码、Bearer Token、client_id、client_secret之类的参数。 5、如果不使用jwt是否就不可以这么做了，比如把登陆状态存到session或者redis中，那么又如何处理？ 6、还有我目前遇到的一个登陆场景不知道如何处理更好: 目前我们的账号体系是一个手机号对应多个账号，而产品经理的需求是先通过输入手机号发送验证码后再选择绑定的账号，这样又如何结合oauth授权来更安全的解决登陆问题

2021-03-12

共1条回复