移动token登录

App登录成功后，服务器会告诉App一个session，后续交流都使用session。但通常为了安全起见session都是要设置有效期的，从1星期到20天都见过。那么，为了不让用户在session失效后重新登录，减少用户的手动输入用户名和用户密码的次数，引入了“自动登录”概念。

流程如下：

登录成功后，服务器给App下发sesion的同时，还下发一个认证token，客户端把token做为应用程序的私有数据存储起来。以后，每当session过期后，就把token发送给服务器获取新的session。整个过程都是对用户透明的，对用户来说，输入一次用户名和密码后，就再也没有登录这个事情了。

当然，这种自动登录的前提，是能保证token的安全性远大于session。我们知道，由于手机OS的安全机制，token做为应用程序的私有数据，对其它应用是不可见的，可以保证token的安全性。我们还可以再上一个锁，把token和用户使用App的那个设备做绑定。可供选择的绑定数据有imsi,mac等。这样的话，只要用户手机不丢，就没事。

没有一种安全机制是绝对安全的，我们需要在实际应用过程中综合运用App使用场景、具体业务类型、用户习惯等各种方式来平衡安全性、用户体验还有商业应用中很重要的成本。

转载 http://tech.ccidnet.com/art/782/20130421/4883005_1.html