## 敏感操作验证 某些敏感操作需要用户输入密码才能继续，比如修改用户名称，只有验证密码通过后才能继续，密码验证后一段时间内，如果后退没有进行修改操作，那么再次操作就不会被要求输入密码验证了。 敏感操作验证表，id 验证方式，密码，其他 有效时间 状态，验证过就失效了 令牌，给用户颁发的令牌，用户id，业务标识，时间戳，md5 ip，颁发时的ip，如果和验证时不一致，责失效 业务标识 令牌唯一索引。 提交修改时 加上令牌参数，后端先验证令牌有效性。 另外两个接口是，获取令牌（通过提交密码获取），验证令牌是否有效（如果本地有令牌就验证是否有效，有效就直接跳过验证密码部分，直接显示修改敏感信息部分，无效就显示验证过程，获取令牌，没有令牌和令牌无效一样的流程） 验证凭证不用前端储存，直接放到session中更好。 其实这个叫令牌有点不合适，应该叫做凭证。  > 除非是提交过程，将密码一起提交验证的，这样就无需凭证了。 * * * * * ### 最后一次提交 有的前端看起来是多步操作，其实只有最后一次提交发送所有数据，这种做法是最省事的，后端无需多个步骤的处理。 * * * * * last update：2018-5-7 16:02:03