token 的設計方案

作者：做個前端
鏈接：https://www.jianshu.com/p/e07f51c5c8bd

網上關於移動客戶端與服務器數據傳輸之間的 token 的細節使用好像都沒有詳細的說明，基本都是一筆帶過。對於簡簡單單的加入一個固定的參數 token，其實是很容易被抓包的。

介紹

token 是登錄之後服務器返回的一段加密字符串（加密算法自己與後臺商量如何加解密），存儲到本地。在客戶端請求服務端數據的時候可以帶上（放在請求頭 headers，參數都行），更新 token 的方法自己與後臺商量，以下只是思路。

下面說一下我自己的方案：

啓動頁判斷本地是否存在 token

爲啥在啓動頁更新 token 呢？是因爲啓動頁在第一個頁面，一般都會有幾秒的等待時間，是不做網絡請求操作的，而且頁面使用率高。這樣隨機更新可以說安全性高。

a）本地存在 token

1）客戶端使用舊 token 請求更新 token
2）服務器判斷 redis 是否存在 token
3）存在則生成新的 token 存儲在 redis 中，刪除舊的 token
4）不存在則判斷該用戶是否存在另一個與之不相等的 token
5）存在與之不相等的 token 則說明該用戶賬號在其他設備登錄
6）不存在~ 則說明過期被刪除或者在其他設備登錄之後退出登錄被刪除（設置 token 過期時間爲 30 天）

b）本地不存在 token

1）有三種情況，一種重來沒登錄過，一種是在新設備登錄，一種是登錄後退出用戶

退出用戶

網絡請求刪除 redis 中的 token，並刪除本地的 token

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/uOlolUTrQrdJFz2pp_UvNQ