服务器Token不存储可以吗,由客户端每次带上Token,客户端各自存储Token

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据，不需再次带上用户名和密码。

用设备号/设备mac地址作为Token。

客户端：客户端在登录的时候获取设备的设备号/mac地址，并将其作为参数传递到服务端。

扩展资料：

token其实更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。

例如在USB1.1协议中定义了4类数据包：token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段。

第一个阶段由主机发送token包，不同的token包内容不一样（暗号不一样）可以告诉设备做不同的工作，第二个阶段发送data包，第三个阶段由设备返回一个handshake包。

参考资料来源：百度百科-Token

问题:登陆成功之后,连接就断开,服务器如何判断当前用户的的登录状态

一般,在开发中,利用token值来的判断用户的登录状态

token值:登录令牌,是标识用户信息的唯一标识符,是一个长字符串,不会有两个相同的token值,

用户登录成功之后,在服务器端就会生成一个token值,然后这个token值就会返回给客户端,同时在服务器也会保存这个token值

客户端获取到服务器屌token值之后,会保存在本地(磁盘/沙盒:"永久化"保存),

客户端发送新的网络请求:

{

1.请求不需要用户信息,(浏览商品),服务器不需要判断用户是否登录,

2.发送的请求需要用户信息(购买商品/添加到购物车(JD需要,淘宝不需要)),服务器需要判断用户是否登录成功过,

将token值作为判断用户信息的标准发送给服务器,服务器通过对比token值来确定用户是否需要再次登录,

token值改变

{

1.用户信息已经改变(密码改变)

2.token值失效(token值是可以设置有效时间的)

{

1.实时要求比较高(安全):银行支付类,失效时间比较短,15min

2.为了保留用户/简化登录流程,失效时间比较长,1Year

}

}

服务器和本地保存的token值不相同,

{

1.如果token值不同:需要再次登录,生成新的token值

2.token值失效了,再次登录,

}

}

服务器如何判断用户的"唯一性"登录?通过token值

{

设置token值失效,

每次登录成功之后都会在服务器生成新的token值,原来的token值就失效了.

}

客户端需要做的事情:就是将token值作为一个参数传递给服务器

{

1.将token值作为一个普通参数拼接在url后面或者封装在请求体中,-------->手动添加token值参数

2.将token值保存在cookie中,自动发送给服务器,------>不需要程序员管理,

}

哪些网络请求需要token值?

{

移动互联网/大数据/HTML5

//手机用户信息------>数据挖掘

//通过参数将用户数据告诉服务器!

}

区别在于：\x0d\x0a登出是指客户端主动退出登录状态。容易想到的方案是，客户端登录成功后， 服务器为其分配sessionId, 客户端随后每次请求资源时都带上sessionId。\x0d\x0a服务器判断用户是否登录， 完全依赖于sessionId, 一旦其被截获， 黑客就能够模拟出用户的请求。于是我们需要引入token的概念： 用户登录成功后， 服务器不但为其分配了sessionId, 还分配了token， token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据，也需要加密。于是一次登录的细节再次扩展。\x0d\x0a客户端向服务器第一次发起登录请求（不传输用户名和密码）。\x0d\x0a服务器利用RSA算法产生一对公钥和私钥。并保留私钥， 将公钥发送给客户端。\x0d\x0a客户端收到公钥后， 加密用户密码，向服务器发送用户名和加密后的用户密码； 同时另外产生一对公钥和私钥，自己保留私钥, 向服务器发送公钥； 于是第二次登录请求传输了用户名和加密后的密码以及客户端生成的公钥。\x0d\x0a服务器利用保留的私钥对密文进行解密，得到真正的密码。 经过判断， 确定用户可以登录后，生成sessionId和token， 同时利用客户端发送的公钥，对token进行加密。最后将sessionId和加密后的token返还给客户端。\x0d\x0a客户端利用自己生成的私钥对token密文解密， 得到真正的token。

---