СПА гостевая касса

Я создаю приложение SPA с гостевой оплатой. Во время этого я вызываю один API для создания данных адреса и имени гостевого пользователя, а затем другой, чтобы добавить другие сведения о проверке.

Есть ли способ убедиться, что текущий гость/анонимный пользователь, который находится в сеансе, находится в одном сеансе при вызове разных API? Я не могу создать токен на клиенте, потому что тогда имя пользователя/пароль для токена будут доступны всем. Есть ли общий шаблон или продукт, который люди используют для этого без создания токена?

Спасибо

Терри


single-page-application anonymous-users
person Terry Carter    schedule 24.03.2017    source источник
comment
Переменные сеанса? Локальные или сеансовые переменные.   -  person Dylan Wright    schedule 24.03.2017
comment
Может быть, не такая хорошая идея, если это в виде простого текста. Но если ваш токен находится в зашифрованных переменных сеанса, все должно быть в порядке. Это тоже хорошая статья. stackoverflow.com/questions/19594202/   -  person Dylan Wright    schedule 24.03.2017
comment
У меня нет аутентифицированного пользователя, поэтому я не могу использовать сеанс. Итак, рекомендуется ли для этого генерировать подписанный токен на стороне сервера (даже если он просто содержит случайный идентификатор и срок действия), а затем связывать случайный идентификатор из токена с транзакциями, которые происходят за вашими API на стороне сервера?   -  person Terry Carter    schedule 27.03.2017
comment
Я думаю, вам нужно какое-то временное хранилище. Не уверен, насколько полезен мой ответ, но я бы нацелился как на сервер, так и на клиентскую сторону. Создайте бизнес-правила в отношении продолжительности хранения и того, как долго вы хотите хранить данные на обеих сторонах. Вы можете сохранить временный файл в базе данных и сохранить ссылку в какой-либо другой таблице. Я не знаю, что-то должно существовать, а затем исчезнуть. Удачи, извините, не могу быть более полезным   -  person Dylan Wright    schedule 28.03.2017