Auth-token1.0:
(1)由于http的无状态性,前端服务器需要存储每个用户对用的 session_id,
由于访问量巨大,所以服务器前端通过nginx做了集群,做(反向代理和负载均衡) 由于做了集群,每次请求发送的服务器不固定,所以使用**(沾粘性session)**
(2)session-id存储到缓存服务器上去,但是redis可能也会挂了所以redis也需要做集群。
(3)问题:如果不保存sessionid,不做验证就不知道是不是系统内部合法用户,容易被攻击
解决方案:用户登录成功,返还一个自定义sign,在拦截器中去过滤 求, 问题:容易被人伪造token,解决方,对返回的数据做一个签名,把这个签名和数据一起作为token,增加了用户登录的安全性;
(4)auth_token2.0: 用户把自己的一些相关信息存储到邮箱类似的第三方平台, 当登录应用软件的时候,把邮箱的帐户和密码给了软件平台,平台去邮箱取数据,如果数据正确,允许登录。
Autho-Token
最新推荐文章于 2024-07-28 23:39:13 发布