APP token机制 - 安全的自动登录

为什么引入token?

在做项目的时候遇到了自动登录问题，如果自动登录的话之前设想是第一次登录时保存用户名和密码到本地，启动APP的时候自动调用登录接口，可是这样一来用户数据就很危险，很容易被盗取，所以网上查找了下解决方法，一般现在web都是使用cookie在APP中我们一般叫做token，就是在用户第一次登录的时候向服务器发送请求，服务器验证后返回一个特定字符串作为token，APP保存好这个token，以后需要自动登录的时候验证一下token就行了，或者进行其他数据请求，都可以使用这个token来验证，而且这个token是有时效的，过期了就得重新登录获取。

token的作用

• token可以显著减少服务端对用户表的查询
• 同时使用户不必每次都登陆，提高了系统的可用性与健壮性
• 用户名和密码不需要存本地，请求其他数据的时候可以使用token，提高了安全性

token使用

1、用设备号/设备mac地址作为Token（推荐）

客户端：客户端在登录的时候获取设备的设备号/mac地址，并将其作为参数传递到服务端。

服务端：服务端接收到该参数后，进行适当的修改，如加上时间戳或者其他信息，形成一个加密串，同时将其作为Token保存在数据库，并将该Token设置到session中，再返回给客户端，客户端进行存储，客户端每次请求的时候服务端都要统一拦截，并将客户端传递的token和服务器端session中的token进行对比，如果相同则放行，不同则拒绝。
分析：此刻客户端和服务器端就统一了一个唯一的标识Token，而且保证了每一个设备拥有了一个唯一的会话。该方法的缺点是客户端需要带设备号/mac地址作为参数传递，而且服务器端还需要保存；优点是客户端不需重新登录，只要登录一次以后一直可以使用，至于超时的问题是有服务器这边来处理，如何处理？若服务器的Token超时后，服务器只需将客户端传递的Token向数据库中查询，同时并赋值给变量Token，如此，Token的超时又重新计时。
2、用session值作为Token

客户端：客户端只需携带用户名和密码登陆即可。

客户端：客户端接收到用户名和密码后并判断，如果正确了就将本地获取sessionID作为Token返回给客户端，客户端以后只需带上请求数据即可。

分析：这种方式使用的好处是方便，不用存储数据，但是缺点就是当session过期后，客户端必须重新登录才能进行访问数据。

总结

使用设备号作为token的话，换了设备就需要重新登录了，其他时候其实都不需要重新手动登录，也就是说可以允许token的过期为更换设备。当然这一种需要设备号，而获取设备号是需要权限的，用户给不给就不一定了，不给的话只能不让其进入了。这个时候考虑第二种方式可能较好，当然了具体看情况来具体选择了，然后Android端的话存取token可以使用shareprefrence较好，尽管sqlite安全性比他高，但是每次取都要操作数据库有点损性能，所以推荐使用shareprefrence，当然也可以这么做，在启动的时候用数据库获取一次token存入内存中，使用的时候要做下判断，如果为空，需要重新获取（以防止被kill），我是推荐使用这种方式的。