在网站开发过程中,要进行身份验证,大多数时候我们才用服务器端的session和客户端的cookie来进行。在用户登陆的过程中,服务器生成对应的session保存在服务器中,浏览器保存cookie记录用户信息,下次进行交互时直接使用两者来进行身份辨别。
而在移动端对于一个已经登陆的用户来说,服务器如何进行身份识别呢?不考虑存在session或者cookie的情况。如果客户端每次请求都发送用户名密码,可能不太安全,同时服务器也必须每次都对其进行验证。这种方法很显然不可取。
或者用户登陆后服务器生成一个token发给客户端,客户端每次请求携带用户id和token,服务器检验id和token是否对应从而进行身份认证,但这样似乎又不安全,只要知道id和token后就可以和服务器进行通信了。
还想到一点,方法同上,只是生成的token中记录用户信息以及失效时间,这样就不需要每次请求加上用户id了,服务器得到请求后检查token值并检查是否有效和是否过期,一切正常后返回请求。