系统token的相关问题

不知道大多数系统是怎么样，下面这个关于token验证方法是我自己根据网上的一些建议，还有自己实践做出来的一套token验证方法。

这是最基本的token验证方法，根据这个方法做了一些改进。

基于 Token 的身份验证方法

大概的流程是这样的：

改进后的token身份验证方法

客户端收集用户的手机特征码与用户输入的帐号和密码，经过RSA加密后，输送给服务端
服务端收到后，对私钥解密出特征码和帐号密码，然后查询mysql
验证成功后，服务端会生成一个token，返回token给客户端，并且服务端会把该token保存在redis数据库里，设置1800过期时间
客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求，查找redis是否存在或是否过期，如果有并且没有过期就通过，返回请求数据，如果过期时间小于900，在返回值里会多一个token字段，客户端每次请求需要判断token字段是否存在，存在就更新

注解：

由于我的系统只针对特定用户，每个用户都与手机绑定，只有用绑定手机才能登陆
设置过期时间也是基于安全考虑，如果用户超过1800没有动作，token就失效。
当时想到的第一步RSA加密主要是解决监听问题，虽然已经升级到https，但是这样会更安全，就算被监听到也不会有用，这样只是为了增加难度，增加破解成本，如果成本比获得的利益高，那破解就没多大意义，并不是为了防破解。

建议：当时想这个花了点时间，如果想快速开发，可以不加密，也没什么问题，系统没有达到一个量级不会有什么人来破解，还是那句话，大多数公司死在自我优化的过程中。不过写好后有了这框架后续也方便了。

说起来一大堆费话，其实也就这图上这么点东西

image

老有人问我具体的代码，其实很多时候别人都只是给个思路，具体的方法还是要自己去解决。

由于我还有下位机也需要访问服务器，是用python写的，原理也是一样

这是手机端用js实现

image

这是下位机，用python

image