新APP与网页登录不同的是,App不要求用户每次登录应用提高方便性。App现在常见的机制是可以坚持不懈的登录。应用传统对话机制和复制网页机制,APP应用传统网页记住登录机制。用户键入确切的用户名和数字密码后,创建登录对话,一起转换为记住登录token坚持在服务端。新APP维护登录的完成特点 每次启动客户端时,通过记录登录token新创建对话,后面的应用会采用session机制。服务器可用Memcache 或 Redis 储存对话。机制灵活得记住登录token,还必须有很长的有用期,这种机制的特点是充分利用当前的基本知识,简单实用,没有太多的新词定义。缺点不利于分布式系统验证,也有Session机制对作用有一点危害,一起不符Restful API无情的整体规划活力。 app应用有用期较长Token 机制,用户准确登录后,转化为有用期较长的用户Token(比如半年以上),存储在服务端,一起发送到手机客户端,每次客户端乞求都是这样的Token认证真实身份。采用https 传输数据加密,Token中途不容易获得,存放在当地的Token其他程序流程也不会。 匹配一般来说,这个计划也是可以的,应用时间较长Refresh Token 和 短期内Access Token。如果手机硬盘本身被网络黑客获得,长期以来,Token或许盗窃、不确定性风险。充分考虑这一点,该计划应用广泛,包括手机微信开发设计 也应用该机制。 仔细想想,这个长期应用token的安全性,如果网络黑客能得到,Access Token,获取Refresh Token也不会太难,用两个token 只是给网络黑客一些麻烦。Token以旧换新的机制,该机制只应用于短时间内Token,比如1天。 用户登录后,这一个Token发送到手机客户端,用户每次乞求都会应用这个Token验证真实身份,Token到期后凭此token互换新的Token,一个到期的Token只有一个新的Token,这也是重要。倘若Token盗窃、网络黑客要再次应用也需要再次交换新的Token,一旦网络服务器发现,一个旧的Token经常试图交换新的Token,说明有异常.此时,强迫用户再次登录。Token旧换新,不一定等到期才换,应用启动时可以旧换新,这取决于实际情况。 这一Token不同的使用可以调整有用期。按总体规划招行app为例子。采用https 数据加密,保证传输安全.Token有用期为10分钟,Token每13分钟,以旧换新的互换新的Token。正常情况下,这种以旧换新对用户不好,一旦两个人试图以旧换新,两个人都阻碍了,要求再次登录。关于调整数字密码和转账投入等重要实际操作,要求用户输入数字密码。所以有很多机会,反复规划安全机制时,一定要应用https。 |