一般登录接口,再验证成功之后,是返回用户的ID信息呢,让app端再通过查询接口去查个人信息?还是把用户的所有信息都一起返回回来?
一般登录接口,再验证成功之后,是返回用户的ID信息呢,让app端再通过查询接口去查个人信息?还是把用户的所有信息都一起返回回来?
验证成功之后就要返回用户信息
两个都可以,具体看你的业务逻辑。
具体区别在于,如果另行设计个查询接口就要考虑未登录查询别人信息的可能性。
当然,就安全方便考虑,我建议在登录成功后直接返回信息,一来可以防止未授权查询,二来可以减少一个请求,提高效率。
但要把一些敏感数据先过滤掉,比如密码,加密盐等
一般返回一些常用的不影响安全性的数据,像id,昵称,注册日等等。敏感数据,如权限,状态之类的数据,不建议本地存储,会有被篡改的风险。
我的做法是,cookies保存加密的id,其他数据抓取后再服务器做cache,需要检索的时候从cache去查。