目标:
存储或者提供登录凭证,此登录凭证需要保证能够一对一
下面是额外需求
- 具有时间限制,保证没有人能够一直在线
- 能够自动更新,用户不用自己重复登录
- 用户主动登录退出和修改密码能够进行停止自动更新
正常session实现上述目标所需要的:
用户登录成功后,服务器生成一个对应的session ID,存储在(内存里的)文件或数据库中,并且放在cookie中返回给浏览器。登录后每次请求会发送cookie,在服务端的存储中查找cookie中的session ID以验证用户身份。
额外需求的实现
- 具有时间限制
在存储介质中存储一个session_id------信息 对,信息里面存有效时间戳,当前时间超过就说明过期
范例:
有效时间 当前时间(系统时间)
8:00 11:00
超过,过期
如果是海外时间,对于可能系统时间需要进行转换
-
能够自动更新
设定一个更新相差值,当前时间和有效时间差值在更新相差值内就进行更新
范例:
有效时间 当前时间 相差多少小时的时候更新
10:00 9:00 2小时
11:00 -9:00 < 2
更新数据存储器内的session_id 并且返回给服务器端 -
用户主动登录退出和修改密码能够进行停止自动更新
当用户主动退出或者修改密码的时候,将存储介质中的相应session删除,这样就能停止更新
为减少session存储消耗和相应的多次数据库取存修改操作,使用token
Token本质是将存储介质从传统的服务器中的内存或者缓存或者数据库转移到客户端
因为转移到了客户端存储,因此每次验证都需要把token发送到服务器端
为了安全需要对传输的东西token进行加密操作。
验证方式也不一样,token分三段,把第二段按照第1段里面的加密算法加密,和第三段比对一下。
额外需求的实现
1.具有时间限制
同session,在存储介质中存储一个有效的时间戳
这个时间戳信息放在token的第二段。
如果超过就说明过期,要求重新登录
2.能够自动更新
因为token需要在网络上传输,所以本身不安全
为了防止被盗取之后无限的访问,不进行自动更新措施,而是规定使用refreshtokon获取token,当等待token过期之后,使用refreshtoken请求新token
如果token被盗,能够使用的时间间隔仅有5——10分钟或者1h。
由于refreshtoken仅作为请求新token使用
Token则是所有需要资源的时候使用
两者相比token暴露在网络中频率更高,更有风险。
由于使用二重获取,token过期就是过期,但尚有不需要登录的可能
当refreshtoken过期时,就需要真正的登录
3.用户主动退出要停止自动更新
对于refreshtoken使用session那种方式存储。
当用户主动退出,将uid–refreshtoken删除
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
