基于Spring和Redis的Token身份鉴权

1.使用Token进行身份鉴权

网站应用(PC端)一般使用Session进行用户登录身份信息的存储及验证,而移动端使用Token则比较普遍,他们之间并没有太大的区别,Token比较像是一个比较精简的自定义的Session,Session的功能主要是保持会话信息,而Token则只用于用户登录身份的鉴权,所以在移动端使用Token比使用Session更加简便而且有更高的安全性。同时也更加符合Restful中无状态的定义。

2.交互流程

(1)客户端通过登录请求,提交用户名和密码,服务端验证通过后生成一个Token(服务端生成的Token一般为非重复的字符串),并与该用户进行关联,并将Token返回给客户端。

(2)客户端在接下来的请求中都会携带Token,服务端通过解析Token进行检查登录状态。

(3)当用户退出登录,其它终端登录同一账号(被顶号)、长时间未进行操作时Token会失效,这时用户需要重新登录。


Redis是一个Key-Value结构的内存数据库。

你可能感兴趣的:(C#)