2.登录之后,我们要返回token,让安卓或者ios去保存这个token,以后每次 *** 作都携带token去请求接口。
3.接下来就是我们要用它传给我们的token去对比,如果符合,那就正常返回数据,否则就返回一个标识,告诉app说这个token不符合,需要重新登录。
下面我们来看嫌搜一下token的具体使用,行孝在开发中我的需求是用户第一次打开我们的APP的时候就获取到一个token,然后保存到本地,这样在下一次打开后我们就能根据token来判断用户的信息(如果用户注册,则把用户信息和token在后台绑定):
1:首先获取token(这里是当打开AP
token是个凭条,简郑不过它比门票温柔多了,门票丢了重新花钱买,token丢了重新 *** 作下认证一个就可以了,因此token丢失的代价是可以忍受的——前提是你别丢太频繁,要是让用户隔三差五就认证一次那就损失用户体验了。\x0d\x0a\x0d\x0a客户端方面这个除非你有一个非常安全的办法,比如 *** 作系统提供的隐私数据存储,那token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录。\x0d\x0a解决这个问题的一个简单办法\x0d\x0a1、在存储的时候把token进行对称加密存储,用时解开。\x0d\x0a2、将请求URL、时间戳、token三者进行合并加盐签名,服务端校验有效性。\x0d\x0a这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做法。话说加密存储一个你要是被人扒开客户贺链端看也不会被喷明文存储??\x0d\x0a方法1它拿到存储的密文解不开、方法2它不知道你的签名算法和盐,两者可以结合食用。\x0d\x0a但是如果token被人拷走,他自然也能植入到自己的手机里面,那到时候他的手机也可以以你的身份来用着,这你就瞎了。\x0d\x0a于是可以提供一个让用户可以主动expire一个过去的token类似的机制,在被盗的时候能远程止损。\x0d\x0a话说一个人连自己手机都保护拦拍颂不好还谈什么安全??\x0d\x0a\x0d\x0a在网络层面上token明文传输的话会非常的危险,所以建议一定要使用HTTPS,并且把token放在postbody里。App 调用登录接口返回用户的token信息,token信息存储在本地,以后每个接口都发送token,如果服务器验证token失效,一般客户端都会怎么处理?跳入登录页面让用户登录?还有没有其他的处理方式?可不可以手动刷新token再重新请求?这枯祥携样是不是token失效就变得没有意义了?如果token泄没伏露了会造成哪些后果?我现在碰见的问题是需要手动更新token,但是由于我的请求类是一个公用类,如果在请求中判断token失效就需要刷新token,这样第一个的请求数据就没了,如果建立一个公用类存储,但发生多个异步请求的时候,只有一个请求的数据可以保留下来,有没宴斗有什么比较好的解决方案?
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)