请问一下各位,
关于session 和 token验证机制同时存在的问题,
目前网站会使用session来验证使用者是否登入,
而在呼叫API的时候, ajax必须带token(由server产出)进行验证.
所以会碰到一个问题, 就是token没有过期, 但session过期 ;
或是session过期但token没有过期, 两个expire time不一致的情况,
我目前作法是任何一个失效都导到登入页面.
因为不想没次呼叫api的时候延长session时间或每次访问页面的时候延长token时间,
这样感觉成本太大, 不知有没有比较好的作法呢, 大家都如何处理?
谢谢