【发布时间】:2017-11-07 14:05:06
【问题描述】:
问题很简单。我也是令牌认证的新手。
我知道,在令牌身份验证的情况下,对于 android 应用程序,使用令牌,以便用户凭据不会保留在应用程序中。即每当用户从服务器获取数据时,它不会每次都发送用户凭据,而是发送令牌。
当用户第一次登录时,从应用程序,从服务器生成一个令牌,并在用户数据旁边的数据库中“输入”。这个令牌从服务器发送回应用程序,它是用户从应用程序中每次计划从服务器获取一些数据时必须发送的令牌。当用户必须获取数据时,它会发送所需的参数以及令牌。此令牌与所有匹配数据库中存在的令牌。如果令牌存在,它还会获取与该令牌关联的用户。并且由于令牌存在,因此用户会话有效,然后将来自服务器的所需数据发送回android应用程序.
我想知道的是,当用户注销时,在客户端和服务器端如何处理令牌?
如果有任何疑问,请发表评论。我知道这是一个简单的问题,但对令牌身份验证了解不多。感谢大家的宝贵时间。
注意:- 另外,如果我在问题中的任何概念是错误的,请随时纠正我。
【问题讨论】:
-
您可以在用户注销时删除
token。它是安全的。或者您可以为token设置到期时间,当token到期时用户自动注销。Token到期也会从 db 中删除特定的token。 -
你没有提到你使用的是哪种类型的
tokenauth。 -
@SudheeshR 实际上我正计划定制令牌。这样可以吗?
-
当然,使用您的自定义令牌很好。但是你必须为这些令牌设置一个到期日。并在到期后从数据库中删除它。
-
@SudheeshR 好的,所以基本上我将从客户端的 sharedpreference 文件和服务器数据库中删除令牌?
标签: java android authentication oauth client-server