服务端一般怎么处理 token？

第三种能解释下吗

@sfwn 猜测应该是类似 jwt 那种吧。

@sfwn
例如客户端登录后服务器生成 token 之后返回，之后客户端请求的时候带上这个 token ，服务端每次都根据之前生成的方法（例如加上了自定义值，使用了什么加密算法）再生成一次来比较，一样就验证成功
就是楼上说的 JWT ，我也是刚接触

我实现过的是不存，仅验证

有的数据库是支持设置过期时间的， 1 和 2 一个意思。

一般都是 token+用户名，在数据库中查询 token 对应的用户名。
如果用户名和客户端发送的一致则继续正常的访问。
如果不一致丢 401 错误。

都不需要存，对用户 ID 和过期时间戳签名即可得到 token 。
token 不应存私密的信息，所以不需要加密。而是要签名，防篡改。

看 jwt 规范你就明白了。
一般不需要存，但若要实现 revoke 之类就要存储

@klesh 比如修改密码后，需要吊销之前的 token ，所以用户 ID 和过期时间戳之外，再加一个值，这个值可存在缓存中，每次请求先对 token 验证，通过后再拿缓存中的值与 token 中的比较

登录成功后生成一个 token 存表存 redis 都行

一个 token 对应一个 uid

JWT ： Json web Token ，可以去了解一下

@jedrek

这样的流程需要进行， 1 。解码 token ， 2 。验证 token ， 3 。把值与缓存比对。
我认为不需要所谓的“值”，直接把 token 放到缓存中，利用 set 进行比对是很快的，都不需要解码和验证 token 。同时， token 一定要设定有效期，如一周，这样缓存中只需存最近一周内被 revoke 的 token ，在空间和时间上更合理。如果用户不喜欢每七天登录一次，可以在客户端设计一套自动 refresh token 的机制。

直接用 session 吧 ,自己搞来搞去最后都搞成了 session

一直很不理解 token 的使用场景。。。搞来搞去不就是个 session 么？
完整实现了 http 协议的哪个不能支持 session ？还是因为懒

2

@sampeng 主要是因为 session 依赖于 cookie 吧

不用 JWT ， token 是这样的结构：签名后的字符串-用户 ID-指纹，共三段，每段中划线分隔.由于要谈到 token 吊销需要存储的问题，所以这里可以不需要存时间戳了。

当注册 /登录成功后：
1. 指定一个指纹，任意值都可以，只要这个值对这个用户没有使用过即可。
2. 将指纹和用户 ID 拼起来并签名，组成 签名后的字符串-用户 ID-指纹 这样结构的 token 。
3. 将用户 ID 与指纹对应起来放到缓存中，并且设置缓存过期时间，这个时间就是 token 有效期。
4. 将 token 返回给客户端。

当用户再次请求时：
1. 将 token 中的用户 ID 和指纹再签名（通过服务端私钥），比对提交的 token 签名后的字符串 就可将篡改或伪造的 token 过滤掉了（或许这一步有更好的实现方式）。
2. 过了上一步，仍然无法确定 token 是否已被吊销。获取缓存中的指纹与提交的 token 的指纹比对，若缓存中取不到指纹值(缓存已设置过有效期期)或缓存中的指纹与 token 的指纹值不相符，就说明这个 token 被吊销了。
3. 通过了上面两步，表示这个请求是已认证了的。

@klesh 忘了

我是做了一个 cachegroup.
前端 redis 热数据，后端 mysql 全部数据。

另外， token 不是应该随机生成的吗？

推荐楼上说的 JWT ，这种方式比较简单，如果应用安全级别不高很实用。客户端存一份 token ，存哪里都行，然后每次需要权限操作的时候就带着 token 去请求。后端接到请求的时候就验证一下。 JWT 把状态放在客户端，后台压力小，要是使用 session 还需要占用服务器资源。 session 多了还需要去管理 session