問題描述

前提：用戶已經經過登錄驗證這個環節。問題：那么用戶再向服務端獲取自己私有的數據時，如何來驗證他的身份呢？（備注：后端用的express框架）

問題解答

使用session 或者 json web token

cookie [http://wiki.jikexueyuan.com/project/node-lessons/cookie-session.html][1]session是基于cookie的服務端技術回答3：

session,把用戶id寫入session驗證成功時req.session.user = user;

session!session可以存在服務器內存或者redis這樣的緩存里。有成熟的第三方session庫,其中session可以存在redis/數據庫/本地。你可以這樣，將session存到redis中：

var session = require(’express-session’);var RedisStore = require(’connect-redis’)(session);app.use(session({ store: new RedisStore({host: CONF.REDIS_URL(),port: 6379 }), secret: ’keyboard cat’, resave: false, saveUninitialized: false, cookie: {maxAge: 14400000}}));回答5：

用sessionID做一個token，每次請求都檢查這個token

和后臺協商，調接口的時候，然后后臺去驗證，他的身份

用戶驗證通過之后會在后臺保存一定的信息來避免后期重復驗證，以前常用的方法是 Session，Session 是基于 Cookie 的，后來逐漸發展了 Token 方式，使用 Token 來代替 Cookie 中的 Seesion-Id，作為后端判斷登錄用戶的依據，再然后出現了 JWT(JSON Web Token)。

不過話說回來，如果確實存在非常重要需要特別謹慎的操作，應該會有二次驗證，比如付款的隨機短信密碼，以及各種安全 Token (或隨機密碼) App 等。最簡單的就是在登錄一定時間之后要求再次輸入密碼確認進行高安全性操作，比如管理員刪除重要數據之類的操作。