如何确保在用户授权未传递userid时服务器的唯一性校验？

在服务器端实现用户授权和唯一性校验是网络应用安全性的关键部分，当用户授权没有传递userid时，确保每个用户请求的合法性与唯一性，需要采用其他机制来补偿，下面将详细探讨几种服务器端实现这一目标的方法：

1、利用Token进行用户状态维持

Token生成与传递： 当用户初次登录时，输入用户名和密码后，服务器验证用户凭据的合法性，一旦验证通过，服务器应生成一个Token返回给客户端，此后客户端在每次请求中携带这个Token，以证明其身份。

Token的存储与验证： 服务器端可以利用Redis缓存或数据库来存储Token与用户信息的对应关系，用于后续的快速查询和验证，当收到请求时，服务器需校验Token的有效性，包括是否存在、是否过期等，以此来确保请求的合法性。

2、基于OAuth 2.0的用户认证流程

授权服务器的作用： OAuth 2.0框架为第三方应用提供访问有限权限的用户数据的方式，此框架下，用户授权不会直接传递userid，而是通过授权服务器获取访问令牌(Access Token)。

客户端角色及流程： 客户端通过重定向用户到授权服务器并获取授权码(Authorization Code)，之后用授权码交换访问令牌，这样确保了即使不直接传递userid，也能通过访问令牌确认用户身份的唯一性和合法性。

3、微信小程序登录态维护

登录态获取与派发： 在微信小程序中，通过wx.login()获取用户登录态之后，服务器应该自己派发一个session登录状态，这个派发的session用于后续的用户请求验证，而且应该注意其安全性设置，避免设置较长的过期时间。

客户端存储使用： 派发的session会发送给小程序客户端，客户端可将session存储在本地storage中，用于后续的通信过程中作为用户身份的凭证。

4、分布式系统中的用户验证

Redis的使用： 在分布式系统中，可以用Redis来缓存用户的登录信息，Token作为键(key)，userId作为值(value)存储在Redis中，这样便于跨多个服务实例进行用户状态的查询和验证。

单点系统Session应用： 对于单点系统，可以使用传统的Session机制来维持用户状态，登录成功后，服务器创建Session，并在每次用户请求时检查Session的有效性，以此作为用户身份的依据。

5、防止重复请求攻击

Token与用户信息绑定： 可以在后端将Token与用户信息进行绑定，这类似于Session机制，但需注意这可能违背RESTful设计原则，这种绑定可以有效防止重复请求攻击，确保每一次用户请求都是唯一的。

处理机制的考虑： 在设计防范重复请求攻击的机制时，不仅要考虑实现的方便性，还要考虑是否符合应用的架构设计和安全需求，在某些情况下，为了保持RESTful的无状态性，可能需要重新设计验证流程。

在了解以上内容后，以下还有一些其他建议：

安全性考虑： 在使用Token或Session时，必须保证其在传输过程中的安全性，例如通过HTTPS协议传输，以及在存储时的安全性，如设置合理的过期时间，避免泄露等风险。

用户体验： 设计验证流程时，除了安全性外，还需要考虑用户体验，避免复杂的登录流程，提供合理的错误提示和反馈机制，使用户在遇到验证问题时能够得到及时的帮助。

即使在用户授权没有直接传递userid的情况下，通过合理设计服务器端验证机制，依然可以实现对用户请求的唯一性和合法性进行校验，这些方法包括但不限于使用Token进行用户状态维持、基于OAuth 2.0的用户认证、微信小程序登录态的维护、分布式系统中的用户信息验证，以及防止重复请求攻击的措施，每一种方法都有其适用场景和注意事项，开发者需要根据具体的应用需求和安全要求来选择最合适的解决方案，在实现这些机制时，还需要充分考虑到安全性和用户体验两大重要因素。