是個JavaWeb項目,現在想公開部分API給app端的開發者調用,想在調用API前加個Token驗證,但是實現起來有點困惑,請各位大神賜教。
我的問題大概如下:
1.用戶登錄成功後分配一個Token給他
-Token怎樣寫?(現在思路是根據URL和請求參數生成,並以Json格式傳回給用戶)
-以怎樣的方式分配給用戶?
-用戶的Token打算存在內存還是數據庫?用戶的Token存在哪裡?服務器的Token存在哪裡?
2.用戶每次使用API都驗證他的Token和用戶名,若吻合則允許訪問該API,否則顯示警告“令牌失效”
-用戶調用api時以什麼方式將token傳給服務器?
1、token生成可以采取 時間戳+用戶id+請求參數 MD5 處理之後生成,
token存儲采取數據庫存儲加cache,雙重存儲,而app的token存儲在手機客戶端
2、手機客戶端和java後台之間定義傳輸格式,然後通過在服務器端添加攔截器或者使用SpringSecurity進行處理,
檢驗token是否正確,並進行處理