API 服务器多端(小程序,管理后台)使用 jwt 认证,是否应该在多端之间进行隔离?

'guards' => [
    'web' => [
        'driver' => 'session',  // 也为jwt,是否可行?
        'provider' => 'users',
    ],

    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

如果两者都为jwt,那彼此之间认证会互通,会不会混乱呢?打扰各位,烦请大佬指点。

MengCY
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 9
zyxcba

不能一概而论,得要看具体的产品需求。
jwt token 只是回话保持的一种形式,如果你们希望互通,那就互通。

如果不想互通,可以使用采用一下方法区分:

  • 识别来源的渠道(微信小程序的来源都带有微信服务器的referer)
  • 采用不同的密钥(rsa-256或hs256)都行

这样就能实现不通用了。个人建议可以隔离开来。

3年前 评论
LOST

管理后台和小程序的使用者应该是不一样的吧,必要的隔离还是要有的吧。

3年前 评论
MengCY

@zyxcba 小程序与管理后台使用角色是不同的,是要严格隔离的,我在想隔离方式....
我使用的登录认证是Auth组件。

3年前 评论
MengCY

@LOST 是的,我在想如何隔离....

3年前 评论
LOST

你可以看看这个帖子
隔离就是分清 token 的所属,然后做不同的处理咯。

3年前 评论

@MengCY 可以设置不同的JWT_SECRET

3年前 评论
MengCY

@hello-bug 这是一个好主意,非常感谢。 :+1:

3年前 评论
MengCY

@LOST 是的,这篇文章太赞了,多谢。 :+1:

3年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!