java - 关于从微信企业号登陆到自己做的系统的问题

Answer 1

不建议返回帐密,可以以此帐密 以自己的方式生成一个临时的字符串,我们先称其为token,然后这个token,关联这个用户的帐密,并且为该token设置销毁的时间.服务端返回该token给用户,写入cookies,然后每次请求摘取该token,作为用户信息.

Answer 2

从微信用户访问特定url到服务端，这一步已经是登陆操作了，所以不太理解图2里为什么还要返回账户和密码。

如@水爱 所说，用户登陆成功后在服务端生成一个带过期时间的token返回给用户，同时保存一份在服务器缓存里（例如memcached、redis），用户每次访问服务端时检查一下token是否还存在缓存里，是则合法，否则重新登录。

以上校验比较简单，视乎你们业务上对登陆校验的安全性要求可以设计更安全但也更复杂的方案。

安全与成本是呈正比的，与便利是呈反比的，需要在业务上衡量。