API 服务器多端(小程序,管理后台)使用 jwt 认证,是否应该在多端之间进行隔离?

'guards' => [
    'web' => [
        'driver' => 'session',  // 也为jwt,是否可行?
        'provider' => 'users',
    ],

    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

如果两者都为jwt,那彼此之间认证会互通,会不会混乱呢?打扰各位,烦请大佬指点。

MengCY
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
讨论数量: 9
zyxcba

不能一概而论,得要看具体的产品需求。
jwt token 只是回话保持的一种形式,如果你们希望互通,那就互通。

如果不想互通,可以使用采用一下方法区分:

  • 识别来源的渠道(微信小程序的来源都带有微信服务器的referer)
  • 采用不同的密钥(rsa-256或hs256)都行

这样就能实现不通用了。个人建议可以隔离开来。

4年前 评论
LOST

管理后台和小程序的使用者应该是不一样的吧,必要的隔离还是要有的吧。

4年前 评论
MengCY

@zyxcba 小程序与管理后台使用角色是不同的,是要严格隔离的,我在想隔离方式....
我使用的登录认证是Auth组件。

4年前 评论
MengCY

@LOST 是的,我在想如何隔离....

4年前 评论
LOST

你可以看看这个帖子
隔离就是分清 token 的所属,然后做不同的处理咯。

4年前 评论

@MengCY 可以设置不同的JWT_SECRET

4年前 评论
MengCY

@hello-bug 这是一个好主意,非常感谢。 :+1:

4年前 评论
MengCY

@LOST 是的,这篇文章太赞了,多谢。 :+1:

4年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!