zoukankan      html  css  js  c++  java
  • 从session到token

    这几天在搞小程序涉及到登陆。

    然后想起了很早以前自己看的一篇文章。

    《干掉状态:从session到token》
    链接:http://weixin.niurenqushi.com/article/2017-03-20/4794863.html

    该文提出了以下几点观点:
    1、session是有状态的,每次登陆时候给客户端返回一个随机码,客户端每次请求带上这个随机码来标识自己的身份。
    2、服务器需要保存所有下发给客户端的随机码,假设有1亿个用户,也要保存1亿个session,当然,可能有的不是活跃的用户,可以考虑让token过期,但是总之问题的复杂度出在该token的存储上。比如:可能假设不用redis/memcache之类的缓存服务器,很可能造成机器不好扩展。但是用了redis/memcahce之类的软件,又很可能造成单点问题。。。各种考虑集群。
    3、问题复杂度出存储全部用户的token上。实际情况下,我们可以考虑不存储这个token,怎么做到呢?很简单,就是用对称加密算法就行了,比如AES之类。这样就不用存储了。

    附带:session 算法:
    md5(base64(aes_256(uid+生成时间,秘钥)))
    为什么要Base64,因为aes生成的字符有的是非明文字符。。。而且aes生成的字符串长度不是固定的。不利于客户端保存传输。
    为什么要md5?加大不可逆的风险,其实没啥必要,只要aes就Ok了,因为aes破解也很具有难度的。

    怎么搞个token算法?
    简单的把md5去掉,变成base64(aes_256(uid+生成时间,秘钥))即可~~

  • 相关阅读:
    手把手教您玩转信用卡 如何“以卡养卡”合法“套现”
    267家已获第三方许可机构名单查询
    C#生成图片验证码
    File I/O
    文件上传代码
    集合框架
    接口
    多态
    封装
    jsp做成mvc模式的代码
  • 原文地址:https://www.cnblogs.com/ccXgc/p/9084517.html
Copyright © 2011-2022 走看看