同一个API接口如何同时为移动端（iOS等）和Web端进行权限验证？

Web端接口验证可以用cookie/session，验证当前api访问权限。移动端可以通过生成临时Token，请求时带入token来验证接口访问权限。

那么，同一个api接口要同时共web端和移动端使用，权限验证应该怎么实现？是两种方法分别验证，还是用一些方法兼容另一端（如，移动端请求时，header带入cookie。或web请求时带入token），又或者同一个api接口最好不要共两端同时使用？求解。

i5ting 1楼•9 年前

获取token作为以后的api授权凭证

获取请求api接口，可以通过header或参数授权

//检查post的信息或者url查询参数或者头信息
var token = req.body.token || req.query.token || req.headers['x-access-token'];

baoniu 2楼•9 年前

程序内部判断呢？判断header里面cookie存在，就用cookie,如果token存在就用token

Hanggi 3楼•9 年前作者

@baoniu 就是说，没有哪个好坏之分？

baoniu 4楼•9 年前

@Hanggi 如1楼那样就是实现，判断客户端来哪种，服务器就用哪种 //检查post的信息或者url查询参数或者头信息 var token = req.body.token || req.query.token || req.headers[‘x-access-token’];