# 登錄設計方案分析 ## 場景 登錄在各種系統，網站，app都是應該有的，但是如何保證用戶信息密碼不泄露？并且同時提高用戶的體驗。 ## 傳統網站的登錄 ### Cookie Cookie是存儲在客戶端的，采用cookie保存用戶的登錄狀態，瀏覽器在每次發送請求都會攜帶cookie想服務器發起請求，服務器通過檢查cookie里攜帶的信息來判斷當前用戶是否登錄，或者該用戶是否登錄過期。 #### 安全性： 這中發生雖然簡單粗暴，但是卻是最不安全的，因為你的cookie信息暴露在客戶端，一個有經驗的人就可以，通過cookie里的信息，來尋找系統的漏洞。 #### 優化方案： 對cookie中的信息進行加密處理，到服務端時在進行解密處理。優化后，對于安全性不是特別高的網站，可以采用此種登錄，尤其是在瀏覽器關閉后還能保存登錄狀態。 ### Session Session是存儲在服務端的，因此安全性相比cookie來說就很好了，信息并不會暴露給用戶，同樣可以存儲登錄用戶狀態。 #### 安全性： 安全性較高，但是由于存儲在服務端，不可以存儲太多的數據，且session的有效時間一般不會太長，并不適合前臺用戶登錄，因此比較適合后臺登錄驗證。 ## App的登錄 在app中我們基本很難使用cookie+session的方式登錄，因為在app中并不是每次請求都是同一個對象。 ### Token登錄機制 根據cookie和seesion的優缺點，設計一種基于token的登錄機制。 ?用戶第一次登錄，輸入賬號和密碼到服務器去驗證 ?服務器驗證登錄成功，為該賬號生成一個唯一的token，這個token保存在服務端，并有時效性，有效時間根據具體需求而設，并返回給客戶端（app） ?客戶端拿到token后保存起來，以后訪問服務器要帶該token證明其合法的身份 ?服務端每次接收到客戶端的token都要檢驗其合法性，如若token不合法，拒絕訪問 ?當用戶退出登錄，則銷毀該token，持有token的人將無法訪問服務端 ***注：token可以保存在數據庫中，或者緩存中，如保存在緩存中，可以提高性能。*** #### 安全性 只需要在第一次登錄時輸入密碼，減少了密碼的暴露次數，因為token具有實效性，即便泄漏也是短時間有效，用戶重新登錄就失效了，當然安全性還有空間可以提高。