Hot Monthly Questions - Software Engineering Stack Exchange
·
如何使用JWT防止未注册用户访问系统?
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
我正在开发一个无密码、基于短信认证的身份和用户服务。用户输入手机号后,系统发送OTP,用户再输入OTP。注册用户将获得JWT,未注册用户需先注册。我研究了三种实现方案,倾向于第三种:成功认证后返回JWT,并根据用户注册状态控制访问。
🎯
关键要点
- 正在开发一个无密码、基于短信认证的身份和用户服务。
- 用户输入手机号后,系统发送OTP,用户再输入OTP。
- 注册用户将获得JWT,未注册用户需先注册。
- 不使用用户名/邮箱和密码组合进行安全验证,仅在注册过程中用于个人资料。
- 研究了三种实现方案。
- 第一种方案:根据响应状态码进行处理。
- 第二种方案:在响应体中返回状态信息,成功注册后返回JWT。
- 第三种方案:成功认证后返回JWT,并根据用户注册状态控制访问。
- 倾向于第三种方案,尽管范围声明主要用于委托访问。
➡️
