移动token登录
来源:互联网 发布:平价红酒 知乎 编辑:程序博客网 时间:2024/05/19 20:46
App登录成功后,服务器会告诉App一个session,后续交流都使用session。但通常为了安全起见session都是要设置有效期的,从1星期到20天都见过。那么,为了不让用户在session失效后重新登录,减少用户的手动输入用户名和用户密码的次数,引入了“自动登录”概念。
流程如下:
登录成功后,服务器给App下发sesion的同时,还下发一个认证token,客户端把token做为应用程序的私有数据存储起来。以后,每当session过期后,就把token发送给服务器获取新的session。整个过程都是对用户透明的,对用户来说,输入一次用户名和密码后,就再也没有登录这个事情了。
当然,这种自动登录的前提,是能保证token的安全性远大于session。我们知道,由于手机OS的安全机制,token做为应用程序的私有数据,对其它应用是不可见的,可以保证token的安全性。我们还可以再上一个锁,把token和用户使用App的那个设备做绑定。可供选择的绑定数据有imsi,mac等。这样的话,只要用户手机不丢,就没事。
没有一种安全机制是绝对安全的,我们需要在实际应用过程中综合运用App使用场景、具体业务类型、用户习惯等各种方式来平衡安全性、用户体验还有商业应用中很重要的成本。
转载 http://tech.ccidnet.com/art/782/20130421/4883005_1.html
0 0
- 移动token登录
- post 登录需要token
- 代理登录,token,ticket
- json web token登录
- json web token登录
- 登录令牌 Token 介绍
- 登录令牌Token介绍
- 登录令牌 Token 介绍
- App之登录、access token、refresh token
- 客户端登录添加token机制
- 登录token值的demo
- 用户登录之token验证
- token登录验证机制图解
- jmeter带csrf token登录
- Jmeter获取登录的token
- app登录的token设计
- 获取登录成功的token
- 关于移动客户端token过期问题
- CSS中不为人知Zoom属性的使用介绍(IE私有属性)
- 3.模型 类方法和实例方法 readonly id instancetype
- Java 自定义servlet 继承httpservlet时 需要引入那些jar包
- 分辨率 和 资源关系
- Android 模拟器 Atom-x86 cpu加速
- 移动token登录
- 【转载】RESTful API 设计最佳实践
- android Application类的详细介绍
- 测试文章发布
- 01_C语言基础
- sp_addextendedproperty 添加字段描述
- Climbing Stairs
- BZOJ 2038 小z的袜子
- 编码详解(utf-8 unicode)