Делает ли авторизация токена ненужными сеансы?

Question

На мой вопрос можно ответить здесь, Нужны ли сеансы для python-social-auth , но я чувствую, что делаю предположения и хотел бы быть позитивным в отношении моего понимания (ПРИМЕЧАНИЕ: я Я не использую django, я использую узел экспресс-реакции Монго, я предполагаю, что django может прийти со встроенными сессиями или что-то в этом роде). Я следовал этому руководству https://medium.com/hyphe/token-based-authentication-in-node-6e8731bfd7f2, чтобы добавить аутентификацию токена и вход пользователя в мое веб-приложение CRUD, отлично работает, пользователи проходят аутентификацию правильно, маршруты защищены. Однако везде, где я читал об основах управления сессиями и сессиях, говорится, что «каждое веб-приложение в мире, которое поддерживает пользовательские данные, должно иметь дело с сессиями» (источник: https://nodewebapps.com/2017/06/18/how-do-nodejs-sessions-work/). В настоящее время мой реагирующий клиент регулярно использует setInterval проверьте, истекает ли срок действия маркера доступа достаточно скоро, чтобы получить новый через токен обновления. Требуется ли реализация сеансов для моего приложения? Если да, то что они добавляют, что мне не хватает?

Answer 1

Это зависит от типа приложения.

Если ресурсы, к которым осуществляется доступ с помощью токена, не зависят от пользователя, тогда сеансы бесполезны.

Однако в сценарии, когда ресурсы уникальны для разных пользователей (например, необходимо войти в систему и т. Д.), Целесообразно реализовать как сеансы, так и токены доступа.

Помните, что токены также могут быть сохранены в течение сеанса. Оформить 'экспресс-сессия' для реализации сессий в expressjs.