[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制

web版是jsonp--get请求，说有的url拿出来就能获取到数据，也不受cookie限制，怎么做全局访问控制比较合适？

这个在qq上回复过楼主了，为了方便其他人看到，我把回复内容贴上来。

楼主的意思，其实是问如何控制ajax接口的调用，必须在已登陆的情下才允许。其实系统里已有预留了相关的控制逻辑，自已可以理解一下后，按照自已的产品或系统的复杂性来决定具体的控制级别和策略。

我的回复是如下。

找到这一段：


上面那段代码中调用的登陆认证方法，进去读一下：


这个认证方法，可以为合法用户返回一个token：


这个token你客户端拿到后，下次在调用其它接口时带过来，不合法，你就拒绝为它服务，就完事。
至于token的生成规则，可以随意（最简单的可以用UUID生成）。稍微严谨一点，可以用JWT，也很简单，不懂可以百度一下JWT是什么，或者看这篇文章：http://www.52im.net/thread-2106-1-1.html
反正先得理解，生成token并返回，下次调用其它接口带过来。带过来的不是这个用户的，或者没有token的，都可以认为是非法。

这跟App产品中的是一样的机制，可以看看APP产品中的服务端开发手册第11节：

引用：JackJiang 发表于 2019-07-19 21:54
这个在qq上回复过楼主了，为了方便其他人看到，我把回复内容贴上来。

楼主的意思，其实是问如何控制ajax ...

弱鸡的我，没看懂