APP token机制 - 安全的自动登录

最新推荐文章于 2024-08-15 11:04:31 发布
最新推荐文章于 2024-08-15 11:04:31 发布
阅读量6.1k 收藏 7
点赞数
分类专栏: 其他 文章标签: cookie app token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HJsir/article/details/80232446
版权
本文探讨了在APP中实现安全自动登录的方法,主要介绍了token机制。通过在用户首次登录时获取服务器返回的token,代替用户名和密码存储在本地。之后的请求中,使用token进行身份验证,降低安全风险。文章讨论了两种token使用方式:基于设备号和基于session,并分析了各自的优缺点,建议根据实际情况选择合适的方式。
摘要由CSDN通过智能技术生成

为什么引入token?

在做项目的时候遇到了自动登录问题,如果自动登录的话之前设想是第一次登录时保存用户名和密码到本地,启动APP的时候自动调用登录接口,可是这样一来用户数据就很危险,很容易被盗取,所以网上查找了下解决方法,一般现在web都是使用cookie在APP中我们一般叫做token,就是在用户第一次登录的时候向服务器发送请求,服务器验证后返回一个特定字符串作为token,APP保存好这个token,以后需要自动登录的时候验证一下token就行了,或者进行其他数据请求,都可以使用这个token来验证,而且这个token是有时效的,过期了就得重新登录获取。

token的作用

  • token可以显著减少服务端对用户表的查询
  • 同时使用户不必每次都登陆,提高了系统的可用性与健壮性
  • 用户名和密码不需要存本地,请求其他数据的时候可以使用token,提高了安全性

token使用

1、用设备号/设备mac地址作为Token(推荐)

客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。

服务端:服务端接收到该参数后,进行适当的修改,如加上时间戳或者其他信息,形成一个加密串,同时将其作为Token保存在数据库,并将该Token设置到session中,再返回给客户端,客户端进行存储,客户端每次请求的时候服务端都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行

最低0.47元/天 解锁文章
HJsir
关注
专栏目录
app与后台的token、sessionId、RSA加密登录认证与安全解决方案,kotlin开源项目实战
m0_64382868的博客
11-28 3194
上述简易的登录验证策略存在明显的安全漏洞,需要优化。 1.1.1 密码的传输 客户端第一次发出登录请求时, 用户密码以明文的方式传输, 一旦被截获, 后果严重。因此密码需要加密,例如可采用RSA非对称加密。具体流程如下: 客户端向服务器第一次发起登录请求(不传输用户名和密码)。 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。 客户端收到公钥后, 加密用户密码, 向服务器发起第二次登录请求(传输用户名和加密后的密码)。 服务器利用保留的私钥对密文进行解密,得到真正的
tocken机制
最自由的笑的博客
09-10 1421
cookie-session机制的缺点 如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失,因为session默认存放在一个服务器内存。 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。过多的Session存储在服务器内存,会对服务器造成压力。 如果浏览器不支持cookiecookie-session机制便无法使用。 cookie存在跨域的限制。 tocken机制流程 当用户登录成功之后, 服务器端就会通过指定算法生成一个 token,过期时间
详解APPToken验证机制
热门推荐
u014526891的博客
09-11 4万+
由于最近负责的一个互联网APP项目需要用到Token验证机制,所以这边抽空整理下整体流程。 我们知道现在最通用的Token是基于JWT来实现,简单来说其实就是用PublicKey来进行加密,生成的Token里面包含用户Id等信息,但是作为APP这种C/S体系结构来说,存在这样的问题: 1、PublicKey由客户端来存储,涉及版本更新迭代问题,并不好更改PublicKey; 2、各个用户的......
简单实现android自动登录功能,保存登录状态
最新发布
qq_45372239的博客
08-15 449
在用户成功登录后,保存用户登录状态,以便下次登录
token机制
qq_41818857的博客
09-25 688
1、token的定义: Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并返回给客户端,以后客户端向服务器发送请求时,带上Token即可,无需再次带上用户名和密码。 2、为什么要用token? 产生背景: 试想下如果有人知道了你的请求接口,如果他在不登录的情况下,恶意调用你的删除接口,随意删除你的数据,这样是不是会给你造成很大的麻烦,所以每次你调用接口时后台需要验证你是否登录,这就是token产生的背景。 Token是在客户端频繁向服务端请求数据,服
APP 登录token
08-15
APP登录时产生token值,存在Redis,数据库MySQL,maven,Redis需要自己配置非常简单,有注解,特别菜的,就别下载了,你不会用,技术牛逼也绕开,适合初级程序员
App接口之Token令牌实现
xiaoxinshuaiga的博客
05-23 1万+
App接口之Token令牌实现》转载请注明来自 傻小孩b_移动开发(http://www.jianshu.com/users/d388bcf9c4d3)喜欢的可以关注我,不定期总结文章!您的支持是我的动力哈!1、目的众所周知,在web端Token(令牌)只是作为防止用户重复提交表单的作用而存在。但是对于App客户端而言,Token却充当着另一种角色,类似现实生活代表每个人的角色认证、或者类...
APPtoken登录机制详解
Lea__DongYang的博客
08-02 5842
1.启动app时,判断本地登录状态。 2.本地登录状态为1,APP请求一下服务端判断token是否过期,过期自动带着账号密码请求登陆,获得登录状态(服务器端登录状态)。服务器端状态为1,更新token,本地登录状态为1;服务器端状态为0或者登录失败,删除客户端保存的账号密码信息,本地登录状态为0。 3.登录成功后,保存客户端的用户账号、密码、token;并且此后每一次接口请求都要附
App 的登陆安全机制
importSUC的专栏
01-11 3987
转自 http://geek.csdn.net/news/detail/50023 安全机制的设计 现在,大部分App的接口都采用RESTful架构,RESTFul最重要的一个设计原则就是,客户端与服务器的交互在请求之间是无状态的,也就是说,当涉及到用户状态时,每次请求都要带上身份验证信息。实现上,大部分都采用token的认证方式,一般流程是: 用户用密码登录成功后,服务器返回t
token自动登录
qq_43411439的博客
08-19 2546
token 身份验证 token 前端自动登录 OpenSSL + perl软件安装: https://blog.csdn.net/sunhuansheng/article/details/82218678 OpenSSl 、 Perl这个软件安装无要求,一路next 先装Perl,在装OpenSSl 检查你的环境变量的系统变量是否有这两个软件的启动路径 先构建前端页面,发送请求$...
iOS App 自动登录安全性分析
zcc1414的专栏
04-07 2319
iOS App 自动登录安全性分析 1  引子        Cookie 有时也用其复数形式Cookies, 指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密). 如果Cookie 以明文的方式存储,那是危险的,如果Cookie 以明文的方式存储在易得到的地方那就更危险了。现在很多的一些公司的APP Cookie都直接放在 APP 应用程序
app 与服务器交互 token
彻底拆分,一切可控!
09-30 1万+
1.产生原因 app 应用需要访问服务器,此过程涉及到身份认证和权限控制的问题,如何搭建 app 和服务器之间信任的桥梁? 我们都知道,session、cookie 是作为浏览器里面的用户和服务器之间认证的一个方式,而app 和服务器之间的交流也是使用的 http 请求,很明显它们遇到的问题是差不多的,但是因为 app 和浏览器又不完全一样(浏览器可以存放 cookie),所以我们可
快速理解Token机制
number_cmd9的博客
10-24 3273
快速理解Token机制 什么是token App在和后台进行通信服务的时候往往会借助于token,那么token的表示形式是什么,而token的作用又是什么呢? 简单来说,token就是一种连接身份证明,往往由一串字符串表示,是和服务器进行通信的令牌。如果你的token不通过,那么就无法访问到后台服务器,相当于服务器的一道安全防线。只要拥有该服务器身份证的才是公民,不然都是黑户,不允许交易的哦。而且有了token,除了第一次需要传入身份信息,后续仅传入token即可,因为身份信息已经根据保持在服务器了,也保
手机app端,token的详解
ityun的博客
02-18 2万+
token是什么?  token是服务端生成的一串字符串,以作客户端进行请求的一个令牌。当第一次登陆后,服务器生成一个token便将此token返回个客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 如何使用token? 两种使用方式: 1、用设备号/设备mac地址作为token 客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作
关于app_id和app_token
huangyan2399的博客
01-01 1105
请问这是什么意思,刚刚着手这个项目,被里面的app_id和app_token搞晕了
app与后台的token、sessionId、RSA加密登录认证与安全解决方案
m0_61869253的博客
06-24 946
都说三年是程序员的一个坎,能否晋升或者提高自己的核心竞争力,这几年就十分关键。技术发展的这么快,从哪些方面开始学习,才能达到高级工程师水平,最后进阶到Android架构师/技术专家?我总结了这 5大块;我搜集整理过这几年阿里,以及腾讯,字节跳动,华为,小米等公司的面试题,把面试的要求和技术点梳理成一份大而全的“ Android架构师”面试PDF(实际上比预期多花了不少精力),包含知识脉络 + 分支细节。!x-oss-Java语言与原理;大厂,小厂。Android面试先看你熟不熟悉Java语言。
Web开发-如何实现Bearer模式的Token验证-Python实例源码.zip
12-13
Bearer模式的Token验证是Web API安全访问的一种常见方式,它基于OAuth 2.0协议标准。在Python,我们可以利用Flask这样的Web框架和JWT(JSON Web Tokens)库来实现这个功能。本教程将深入讲解如何在Web开发实现...
android应用第二次登录实现自动登录
Hi_AndG的博客
12-18 5285
1.第一次登陆getUserInfo里带一个长效token,该长效token用来判断用户是否登录和换取短token 2.通过sp存储将长效token保存起来。 3.接口请求用长效的token换取短token,短token服务端可以根据你的接口最后一次请求作为指示,超时时间为一天。 4.如果短小token失效在用长效token去替换 5.长效Token失效,提示用户再次登录
APP使用token和refreshToken实现保持登录状态.vsdx
07-16
App使用Token 和 RefreshToken 完成登录认证接口,保持登录状态。 这是使用Token和RefreshToken的流程图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值