一般来说,获取token令牌的逻辑是这样的:客户端持有账号和密码,与服务端交换token令牌,进行后续的一系列操作。下面是一个简单的权限验证模型:服务端要做三件事:1、验证客户端是否有token,即是否合法;2、验证token是否过期,即是否有效;接口)权限。以小程序客户端为例:小程序为每个用户分配一个Code,用户登录小程序后即可获取。个人服务器获取用户的Code,为用户与小程序服务器交互Code、appid、secret等信息。openid和session_key(我们这里不关心session_key,是用来解密得到userid的)。什么,你为什么不在乎?那么我们来解释一下userid和openid的区别。同一个用户对于不同的小程序有不同的openid,但是userid总是一样的,所以userid可以用来关联两个小程序,一般情况下不会用到。openid是用户的唯一标识,没有有效期,不适合返回给客户端,很不安全。因此,要生成一个有保质期的Token令牌,为了减轻数据库的压力(否则频繁验证token是否合法,一直读取查询数据库会不堪重负),将Token并将用户信息保存在缓存中,可以加快访问速度;但是也有一些Loss,缓存的使用会比数据库麻烦。小程序携带令牌并检查缓存中的令牌。如果通过,则服务端返回小程序端想要的接口。至于如何验证,包括服务端如何获取code,生成绑定用户信息的token,下次公布(^▽^)
