大家好,想請教一些問題
1.若要在前後端分離架構下,實作帳號登入驗證,要使用session驗證還是JWT驗證?
2.使用JWT驗證,首次登入後,API再吐回TOKEN給前端,這樣登入後的其他動作都要在HEAD加上TOKEN,是不是會比較麻煩?
3.session驗證的話,是首次帳號登入後,SERVER端在session紀錄成功登入,如果user要再訪問其他頁面,server端則透過session id抓到應的session來判斷是否成功登入來開啟權限,這樣的流程是否正確?
如果我觀念有錯誤的地方,再麻煩各位指導 謝謝