flmn

微信群聊

嗯，这老哥适合来我们公司……

科创 50ETF

我封装了个极简框架，只有用户，部门，角色，权限这些，主打前后端打通。前后端封装了不少东西，形成了比较标准的 pattern 。
针对新项目，让他们用 ai 生成代码，跟 ai 说，模仿现有代码，生成新代码……

你时间选的不好，建议避开暑假和公共假期。又便宜玩的还好。
比如 9 月份，天气好，秋高气爽，学生开学了，国庆还没到。
就是请一周假的事。

分几个层面：
1 、我忘带钥匙它能知道？
2 、开发这个东西的肯定是国产厂商，我不相信他拿到这些信息不考虑别的营生。
3 、虽说不要钱，但是这个有卵用么？

第 2 步的 session 直接用你所用 web 框架的 session 支持即可。
举个例子，我用的是 Spring boot ，访问 session 就是标准 api 的一部分，后端存储就可以用 spring session 这个库，可以配置 session 存在 jdbc 或者 redis 里。
具体这个 session 如何跟前端连起来的，一般是将 session id 放在 http only 的 cookie 里，但是放 cookie 这个只是实现细节，不用你去放，框架自动管理了。

巧了，前一段我刚对这个问题深入研究过。
先回答你问题：
1 、是的
2 、你这样处理不好

我的流程是：
1 、用户点击三方登录，前端往后端访问的不是接口请求，而是直接<a>标签指向一个后端地址
2 、后端收到请求，生成 state 后存 session ，然后返回 redirect 头，前端浏览器收到后跳转到 IdP
3 、完成验证后，IdP 跳转回系统的前端页面，传 state 和 code
4 、前端拿到 state 和 code 原样调后端接口，后端从 session 拿出 state 比对，然后用 code 交换授权的用户信息，验证成功后即可登录这个用户
5 、后端生成你自己管理的验证 token 或者直接用 session 啥的，如果你之前已有用户名/密码登录，正好跟之前的鉴权模式衔接上了。

Webflux 不用浪费时间看了，废了