这是一个创建于 3763 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前笔者做了一款iOS的App,需要访问服务器资源,当App登录以后,服务器端验证通过后,会返回一个访问token,用于校验后序的api访问操作,App以后所有的请求都会带上这个token参数,现在想问下,这个token如何实现?
有朋友建议我使用session的session id来实现这个token,但是session销毁后,用户就必须重新登录了,你们有什么好的办法么?
谢谢各位,已经想明白了~~
 | 1 q84629462 2015-07-02 15:52:58 +08:00 via Android  1 不销毁session不就可以了吗 |
 | 2 xx314327475 OP @q84629462 不销毁session服务器内存可能吃不消,而且我这个服务器在没有访问的时候会自动休眠,session也会被销毁. |
| 3 xx314327475 OP @q84629462 可以不用token么? |
| 4 xx314327475 OP @q84629462 可以不用session么? |
 | 5 ipconfiger 2015-07-02 15:59:09 +08:00 直接用oAuth2的方案不行么? |
 | 6 hahasong 2015-07-02 16:00:28 +08:00 已经登录了为何还要带token识别状态,在服务端根据用户身份处理就好了 |
| 7 q84629462 2015-07-02 16:01:35 +08:00 via Andoid @xx314327475 那就放数据库呗,不就保存一个字符串而已 |
 | 8 BuilderQiu 2015-07-02 16:01:41 +08:00 用户主要信息ID之类的+过期时间+balabala+... 加密生成token,客户端保存 请求时过滤器解密验证 |
| 9 xx314327475 OP @ipconfiger oAuth2是不是有些过于复杂了? |
| 10 xx314327475 OP @hahasong 因为http是无状态的,token是用来校验用户权限的,告诉服务器这用户已经登录了,不用再校验了,具体用他的原因主要是防止其他人盗用api,而且每次app请求都不能带上用户名和密码吧? |
| 11 xx314327475 OP @q84629462 每次请求都去数据库查一次么?放内存中如何管理呢?什么时候销毁呢? |
| 12 xx314327475 OP @BuilderQiu 客户端保存我是清楚的,token如何生成我也是明白的,我不明白是服务器是如何保存用户的登录状态. |
 | 13 glasslion 2015-07-02 16:11:22 +08:00 @xx314327475 一个session才多少大小,就能把你们服务器内存给吃光了? |
| 14 xx314327475 OP @glasslion 不是怕吃光,但是这种实现感觉总是不好的 |
 | 15 billlee 2015-07-02 16:12:44 +08:00 我自己做的小项目,试过用 redis 保存 session, 感觉还不错。可以设置过期时间,到期 redis 会自动销毁。 |
| 16 q84629462 2015-07-02 16:13:06 +08:00 via Android token嘛,多数一个月,有的一年,要看你的账号使用条件,例如异地ip立即销毁,一段时间内多个IP使用立即销毁之类的 |
| 17 xx314327475 OP @billlee 可是你怎么知道什么时候销毁session呢?session销毁了,我app的用户怎么办? |
| 18 xx314327475 OP @q84629462 你的意思是这个不用服务器的session id来做,自己在服务器实现下,然后根据你所说的算法,来用程序销毁 |
| 19 q84629462 2015-07-02 16:17:54 +08:00 via Android @xx314327475 token不就为了让用户一次登录长时间免登录么,当然要有安全机制,网络传输被抓包别人就可以用了,毕竟是明文的玩意 |
| 20 hahasong 2015-07-02 16:18:28 +08:00 @xx314327475 登录态跟web一样,登录完了写sesseion 和 cookie 不就完了,每次请求带上cookie |
 | 21 nisnaker 2015-07-02 16:20:05 +08:00 1 登录之后在服务端用当前用户的唯一id和时间戳做加密,加密的结果作为token返回给客户端。 之后每次请求带上这个token,服务端解密,如果能成功解密而且时间没有过期,就认为登录成功。 至于其他业务建议跟这个token解耦,该查询的查询,该缓存的缓存,不要把这个token当做session来用(存一些临时的东西神马的)。 |
 | 22 6IbA2bj5ip3tK49j 2015-07-02 16:20:19 +08:00 1 放内存,放token和激活时间,每次访问API都刷新一下token的激活时间。超时的时候删掉就好了。 |
| 23 q84629462 2015-07-02 16:21:20 +08:00 via Android token放哪看你服务器条件,内存大的放内存,内存不够大的就只能硬盘存储,不就只有这两种存档方式嘛 你也可以做个折中,活跃度高的token放内存,一段时间内不活跃的就扔硬盘 |
| 24 billlee 2015-07-02 16:22:03 +08:00 @xx314327475 这就看你的需求了。如果是长期的会话, 就按照 @q84629462 说的处理。如果是单次使用的会话,我是连续 20 分钟没有通信活动的情况下销毁。 |
| 25 q84629462 2015-07-02 16:28:00 +08:00 via Android @billlee app用肯定是长期的了,支付宝app也没有一天不用就要登录一次的变态要求,楼主做的app应该不会比支付宝还危险吧 |
| 26 BuilderQiu 2015-07-02 16:31:32 +08:00 |
| 27 glasslion 2015-07-02 16:38:47 +08:00 @xx314327475 有毛不好的。 如果你们的服务器连session也不用的话,倒是没有必要单独为 token去破坏 server 的无状态性 , 既然都用了 session, 把token存内存/redis/数据库里能有啥坏处? |
| 28 xx314327475 OP @q84629462 谁说要用明文了? |
| OP @hahasong cookie里面保存着 session id,然后通过session id 在服务器找回之前的session,但是session我要让他多久过期好呢? |
| 30 xx314327475 OP |
 | 31 garfeildma 2015-07-02 16:47:37 +08:00 建议直接oauth吧,虽然复杂点,但是都有现成的实现,拿来用就好 |
| 32 xx314327475 OP @billlee 20分钟用户没用就销毁,然后21分钟用户使用了,我让用户重新登陆么? |
| 33 hahasong 2015-07-02 16:47:49 +08:00 1 @xx314327475 对,web认证就是这样的。过期时间,那要看你app的设计需求了,如果是强安全的,像银行,证券类,每次放几分钟就超时的就设短一点。如果是聊天社交类的,你可以设一个月或者2周。每请求一次,就重设过期时间 |
| 34 xx314327475 OP @garfeildma 您说的是oauth 还是 oauth 2.0 |
| 35 xx314327475 OP @glasslion 问题是session默认生命周期存活多久? |
 | 36 anubiskong 2015-07-02 16:49:35 +08:00 session存数据库里面, nodejs+mongodb很容易实现, 其他的后端不知道 |
| 37 xx314327475 OP @hahasong 感谢! |
 | 38 zjmdp 2015-07-02 16:53:32 +08:00 1 @nisnaker 同意这种做法,用户唯一id可使用设备相关的id,ios的可以使用:[[[UIDevice currentDevice] identifierForVendor] UUIDString] |
| 39 hahasong 2015-07-02 16:54:22 +08:00 1 @xx314327475 如果用户量不大,几十万以下的,可以用后台语言自带的session管理,比如php是用文件的形式。如果用户量比较大,对性能要求比较高。就开个redis当永久缓存用。每次放进去的时候设一下过期时间,到期会自动删除。或者用户退出登录就马上删除。业务场景都是这么用的 |
| 41 xx314327475 OP |
| 42 nisnaker 2015-07-02 17:27:45 +08:00 1 @xx314327475 其实你问的问题就是这个token怎么办,如果做成加解密的话服务端就什么都不用存。 至于这个过期时间,就是当前的时间戳减去token里存的时间戳,要不要判定为过期完全在服务器端控制,方便优化。 而且这个多久过期也不用在这里讨论,看你的具体业务,你可以设成1年有效,大不了app跟支付宝一样做下手势验证;或者5分钟过期,过期之后自动再次登录重新获取token以免用户体验太差。 |
 | 44 dofaith09 2015-07-02 19:37:14 +08:00 存在数据库, 用 memcache 缓存. 直接存到 redis 也可以 |
 | 45 zhuangzhuang1988 2015-07-02 19:51:17 +08:00 1 用这个库即可 http://pythonhosted.org/itsdangerous/ 也就是@BuilderQiu 的解决方案, 具体在http://book.douban.com/subject/26274202/ 中第14章有. 另外还可以用于邮件验证 |
 | 46 jedrek 2015-07-02 20:11:50 +08:00 1 @BuilderQiu @nisnaker @hahasong @xx314327475 若认证信息不存储的话,会有些问题。 一个用户有两个设备,在其中一个设备上改掉密码,另一个设备的token如何失效? 换种说法,token泄露了,我改密码后,如何让泄漏后的token失效? |
 | 49 zhujinlong 2015-07-02 21:04:50 +08:00 1 服务端放内存或redis或存db,客户端放headers |
 | 50 qianlifeng 2015-07-02 21:15:04 +08:00 jsob web token |
| 51 qianlifeng 2015-07-02 21:15:15 +08:00 1 json web token http://jwt.io/ |
 | 52 freeznet 2015-07-02 21:18:41 +08:00 1 jwt +1 http://jwt.io |
 | 53 bkmi 2015-07-02 21:36:04 +08:00 1 我们用UUID当token,失效机制大概就像楼上说的,登录重新生成,过期失效,修改密码失效,还有些安全规则失效 |
 | 55 Comdex 2015-07-03 12:39:08 +08:00 1 |
 | 56 aftereclipse 2015-07-03 17:40:12 +08:00 1 token放redis和数据库 登录过程采用https或者自定义的加密方式,返回token+过期时间给客户端 。后续所有api调用都校验token。这样分布式部署应用的时候就无需考虑session问题,所有服务器统一从redis中获取校验token就好了 |
Select Language