來源:互聯網
上載者:User
關鍵字
php
java
python
node.js
asp.net
實現所謂的無狀態,使用Cookie認證的話,不用session豈不是每次都要重新認證查一下資料庫?
我的具體實現是
定義 一個秘鑰 key="隨機";
user_profile表 裡面放一個欄位 token 使用者註冊的時候,分配一個隨機值
使用者登入的時候,
String userToken= md5(使用者id+token+key);
response.addCookie("user_id",使用者id);
response.addCookie("user_token",userToken);
然後定義一個登入攔截器
String userId = request.getCookie("user_id");
String userToken= request.getCookie("user_token");
String token=db.getUserTokenById(userId); //這裡每次都要查詢一下資料庫
String userToken2= md5(使用者id+token+key);
if(userToken.equals(userToken2){
//登入成功
} else{
}
這次方式雖然簡單,但是還是能夠有效防止偽造cookie的
但是這裡每次都要查詢一下資料庫,有沒有更好的實現方式
回複內容:
實現所謂的無狀態,使用Cookie認證的話,不用session豈不是每次都要重新認證查一下資料庫?
我的具體實現是
定義 一個秘鑰 key="隨機";
user_profile表 裡面放一個欄位 token 使用者註冊的時候,分配一個隨機值
使用者登入的時候,
String userToken= md5(使用者id+token+key);
response.addCookie("user_id",使用者id);
response.addCookie("user_token",userToken);
然後定義一個登入攔截器
String userId = request.getCookie("user_id");
String userToken= request.getCookie("user_token");
String token=db.getUserTokenById(userId); //這裡每次都要查詢一下資料庫
String userToken2= md5(使用者id+token+key);
if(userToken.equals(userToken2){
//登入成功
} else{
}
這次方式雖然簡單,但是還是能夠有效防止偽造cookie的
但是這裡每次都要查詢一下資料庫,有沒有更好的實現方式
既然對於整個事務來說,查詢是必須的,那麼就應該考慮提高查詢效率,根據實際需求像memcache,redis這種索引值對形式的資料存放區方式就顯得很必要了,既能滿足資料存放區要求,又能緩解效能問題。
不需要每次都查詢資料庫,token 放入記憶體做 cache,下次只要查一下 cache,token是否有效,是否到期就行了
token: {
uid: xxx
expired: xxx
}
沒感覺到你這個東西比session最佳化到哪裡了。其實簡單點兒你可以用你這些資料做AES加密,然後伺服器端做反解析就好。
比如:
token = aesHash(uid +'|' + mKey + '+' time)
response.cookie(token, token);
校正時
uid,mKey,time = deAes(token)
同時還可以有ip,ua,作業系統啥的。只要你喜歡。。可以根據自己的情況進行校正,完了之後再去校正使用者的身份情況。
少不了資料庫查詢的。總會有比如使用者狀態,使用者身份,使用者權限等等一堆的校正。
不過你這個需求完全可以在redis層面完成,效能+持久化都有。
不要存資料庫裡面,用memcache或redis,既解決分布式的問題同時效能也很高。
可以考慮NoSQL