首頁猿問如何存儲(chǔ)token比較合適？

如何存儲(chǔ)token比較合適？

JavaScript

FFIVE 2019-04-13 08:36:51

在保持多步驟流程一致性時(shí)我需要用到token（比如找回密碼）：步驟1，用戶提交要找回密碼的用戶名和驗(yàn)證碼，我生成token1，返回頁面中包含這個(gè)token1步驟2，用戶提交他收到的短信驗(yàn)證碼和token1，我根據(jù)token1來識(shí)別是哪個(gè)用戶，短信驗(yàn)證碼是否正確，token是否過期，這個(gè)token的使用場景是否正確，如果都有效，我生成一個(gè)token2，返回頁面包含這個(gè)token2步驟3，用戶提交他的新密碼和token2，我根據(jù)token2來找出是哪個(gè)用戶，最后重置那個(gè)用戶的密碼這里的token都有時(shí)效性，我存在mysql里，每天都要跑cronjob來刪除過期的token，這樣不太好吧，我應(yīng)該怎么存token？或者有更好的辦法？

查看完整描述

2 回答

吃雞游戲

TA貢獻(xiàn)1829條經(jīng)驗(yàn) 獲得超7個(gè)贊

token可以使用md5(username+userid+timestamp)_timestamp，這種格式的token基本上不會(huì)重復(fù)了，同時(shí)尾部的timestample也能用于過期檢測(cè)。對(duì)于一個(gè)用戶來說通常一個(gè)token就夠了，當(dāng)你生成第二個(gè)token的時(shí)候第一個(gè)已經(jīng)失效了，所以可以直接update掉，這樣每個(gè)用戶最多有一個(gè)token就不需要考慮刪除的問題了，當(dāng)然在token被驗(yàn)證有效地時(shí)候應(yīng)該把數(shù)據(jù)庫中的tokensetnull，防止同一個(gè)token被二次驗(yàn)證。

反對(duì) 回復(fù) 2019-04-13

慕桂英546537

TA貢獻(xiàn)1848條經(jīng)驗(yàn) 獲得超10個(gè)贊

token不需要存儲(chǔ)的，你可以使用AES的可逆向加/解密算法對(duì)數(shù)據(jù)進(jìn)行加密，如aes.ecode(userId+time+info+key(密鑰))，生成token后把這個(gè)串傳回給客戶端，不需要保存，等下次他傳回給你的時(shí)候你只需要aes.decode(token)解密一下就可以獲得這里面的用戶信息與當(dāng)前登陸的用戶信息對(duì)比一下就行了

反對(duì) 回復(fù) 2019-04-13