API 服务器多端(小程序,管理后台)使用 jwt 认证,是否应该在多端之间进行隔离?

'guards' => [
    'web' => [
        'driver' => 'session',  // 也为jwt,是否可行?
        'provider' => 'users',
    ],

    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

如果两者都为jwt,那彼此之间认证会互通,会不会混乱呢?打扰各位,烦请大佬指点。

MengCY
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 9
zyxcba

不能一概而论,得要看具体的产品需求。
jwt token 只是回话保持的一种形式,如果你们希望互通,那就互通。

如果不想互通,可以使用采用一下方法区分:

  • 识别来源的渠道(微信小程序的来源都带有微信服务器的referer)
  • 采用不同的密钥(rsa-256或hs256)都行

这样就能实现不通用了。个人建议可以隔离开来。

4年前 评论
LOST

管理后台和小程序的使用者应该是不一样的吧,必要的隔离还是要有的吧。

4年前 评论
MengCY

@zyxcba 小程序与管理后台使用角色是不同的,是要严格隔离的,我在想隔离方式....
我使用的登录认证是Auth组件。

4年前 评论
MengCY

@LOST 是的,我在想如何隔离....

4年前 评论
LOST

你可以看看这个帖子
隔离就是分清 token 的所属,然后做不同的处理咯。

4年前 评论

@MengCY 可以设置不同的JWT_SECRET

4年前 评论
MengCY

@hello-bug 这是一个好主意,非常感谢。 :+1:

4年前 评论
MengCY

@LOST 是的,这篇文章太赞了,多谢。 :+1:

4年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!