webAPI token设计的问题

黑帽子 发布于 2016/03/04 14:54
阅读 1K+
收藏 1
webAPI token一般怎么设计,加密后的token ,下次传过来的时候怎么知道这个token 对应哪个授权用户的?是在后台用key -value这种存储起来,下次token过来,使用get(token) 这种方式取到它对应的信息?还是使用jwt (json web token)这种加密方式,把需要的信息都加密起来,下次再解密,但这种加密的token 长度特别长,感觉跟微博,微信这种授权token 不太一样。不知道大家是怎么设计的??指点下。
加载中
0
DavidWho
DavidWho

token可以用你特定的加密方式来处理,比如:将 用户ID+首次请求时间+口令(特定字符串) 拼接起来,然后使用MD5获取16或32位字符串。

token可以存入数据库,具体看你业务需要。如果怕数据量过多影响效率,就添加缓存。

还可以使用Redis等NoSQL来做token的存取。

0
随意丶nice
随意丶nice
随机生成token返回并存到内存(可以是redis也可能是memacache),用户再一次请求又随机生成又存到内存。
0
Sel8616
Sel8616

用DES或AES进行加解密

比如,定义TOKEN的明文格式为:user_id + 生效时间 + IP

加密后生成的TOKEN密文,类似于:1ECEB0010AED10FF01

收到请求后,取出密文TOKEN,解密后就会还原成:user_id + 生效时间 + IP

返回顶部
顶部