这是一个创建于 3509 天前的主题,其中的信息可能已经有所发展或是发生改变。
用户登录进来后系统生成一个Token并返回给客户端,以后客户端所有查询均发送由『用户名+设备ID+Token+时间戳』取经过哈希计算的结果,同时传给服务器用户名和时间戳。
服务器根据用户名查询到用户的设备ID和Token,用传递过来的时间戳做同样的运算,如果结果相同则认为验证通过。
时间戳给个有效期如果超过有效期则直接拒绝。
本应用要求用户绑定手机,所以设备ID绑定后不变。
请问这个思路是否合理。
服务器根据用户名查询到用户的设备ID和Token,用传递过来的时间戳做同样的运算,如果结果相同则认为验证通过。
时间戳给个有效期如果超过有效期则直接拒绝。
本应用要求用户绑定手机,所以设备ID绑定后不变。
请问这个思路是否合理。
 |
1
virusdefender 2015-04-07 18:13:04 +08:00
没问题吧
|
 |
2
honeycomb 2015-04-07 18:19:18 +08:00
怎么都想拿设备ID呢,这个东西给伪造值呢?
|
1 |
5
thinkif OP |
|
7
thinkif OP @honeycomb
已感谢,给你回回血 :) 重点不是设备ID,或者说我不用设备ID,也不验证设备唯一性,光说这个校验的思路是否有问题,有没有其他更好的方式。 之前在网上找了很多,大概都是差不多的方式:登录获取Token,本地计算出Sign,可能算法会略有不同,服务器校验Sign并考虑过期时间。 在这发帖子就是想问这样是否合理,是否有更好的方法值得尝试。 |
Select Language