安全 手机通过 api 访问服务器的类似 session 的机制该怎么处理?

wangping · 2014年08月06日 · 最后由 atlas 回复于 2014年11月21日 · 3648 次阅读

如题,手机通过 api 访问服务器的类似于 session 的会话机制该怎么处理?据我所知,手机访问是不保存 session 和 cookies,那有什么比较好的处理方式了,我想到的就是利用数据库。

可以用 token

我的做法是

  • 用户登录后服务器返回 token,每次 api 请求的时候在 http headers 里面加上这个 token。
  • 用户注销之后 callback 把 token 更换掉。
  • 用户的 token 可以保存在 redis(user 唯一标识符 => token)里面,然后按一定频率更新。
  • 记得加上 SSL

还有就是自己在客户端程序中管理 cookie,实际上原理和 token 差不了多少

#2 楼 @kemingcao 请教一个问题,如果别人用抓包工具,把 haaders 里面的 token 获取到,然后自己模拟,在 headers 里面加上 token,大量发送请求,这个有办法预防么?

需要 登录 后方可回复, 如果你还没有账号请 注册新账号