請問一下各位,
關於session 和 token驗證機制同時存在的問題,
目前網站會使用session來驗證使用者是否登入,
而在呼叫API的時候, ajax必須帶token(由server產出)進行驗證.
所以會碰到一個問題, 就是token沒有過期, 但session過期 ;
或是session過期但token沒有過期, 兩個expire time不一致的情況,
我目前作法是任何一個失效都導到登入頁面.
因為不想沒次呼叫api的時候延長session時間或每次訪問頁面的時候延長token時間,
這樣感覺成本太大, 不知有沒有比較好的作法呢, 大家都如何處理?
謝謝