app後端使用者登入api

標籤：

app將使用者名稱和密碼發送到伺服器，伺服器驗證使用者名稱和密碼都正確後，會在redis或memcached伺服器中以使用者id為鍵產生token字 符串，然後伺服器把token字串和使用者id都返回給用戶端（用戶端通過token產生簽名），例如token字串"daf32da456hfdh" 和使用者id"5"

　　假設api請求為"test.com/user/info", 通過token字串"daf32da456hfdh"產生md5簽名後: md5("test.com/user/info&token=daf32da456hfdh”)= C99DC0C22437AC275C08CE4A9708B25A，於是，api請求加上籤名和使用者標識後就是：test.com/user /info?userId=5&sign=C99DC0C22437AC275C08CE4A9708B25A

伺服器接收到這個url後，用userId擷取token，再用相同的演算法產生簽名和sign參數對比，如果相等的話，就表示這個url是有效,那就繼續執行這個api調用，用上面的這個方法，就能避免token在api調用時泄露

　 　上面的方法還有一個問題，因為這個api請求＂test.com/user/info?userId=5& sign=C99DC0C22437AC275C08CE4A9708B25A＂上沒有到期時間，假設別人拿到這個api的請求，就能反覆調用了。改進方 法是在傳遞的參數中增加時間戳記，當發現這個時間戳記離現在的時間已經很久了，就判斷這個url已經失效了。
　　但用時間戳記怎麼保證app的時間和伺服器的時間同步？在app每次啟動時和伺服器同步時間，然後在app內建一個時鐘，時間戳記在這個app的內部時鐘擷取，防止使用者修改了手機的時間導致時間不一致。

於是有了下面的改進方法：

　　假設api請求為"test.com/user/info", 用token字串"daf32da456hfdh"和時間戳記產生md5簽名後: md5("test.com/user/info?userId=5&token=daf32da456hfdh&timestamp=1425860757”)= C116161A6F430343B6CECF08562F1371，於是，api請求加上籤名和使用者標識後就是＂test.com/user/info?userId=5&timestamp=1425860757&sign= C116161A6F430343B6CECF08562F1371＂，伺服器接收到這個api請求，如果發現收到這個url請求的時間和time=1425860757相隔很久，就判斷出這個url是被別人截取來反覆調用了。如果時間合法，那就用上面的演算法再判斷sign是否一致，如果別人修改了url上的時間戳記也不用怕，因為簽名會和伺服器端的簽名不相等

app後端使用者登入api