Session

的管理通过搭建一个认证Auth系统负责用户身份验证并进行整个系统

Token

Token是服务端生成的一串字符串以作客户端进行请求的一个令牌当第一次登录后服务器生成一个Token便将此Token返回给客户端以后客户端只需带上这个Token前来请求数据即可无需再次带上用户名和密码。

Token的目的是为了减轻服务器的压力减少频繁的查询数据库使服务器更加健壮。

Keytoken

根据不同客户端(PC、移动)为了便于统一管理和维护token生成算法设计如下

端token:PC-USERCODE[加密]-USERID-CREATIONDATE-RONDEM[6

位]移动端token:

MOBILE-USERCODE[加密]-USERID-CREATIONDATE-RONDEM[6

json

页面进行个人密码修改后移动端才会退出重登录或者当在移动端修改密码操作用户也不需要退出重登录直接在

Redis

统一放在请求头header里后端需要获取当前用户信息时就可以直接从

header

token:token:PC-3066014fa0b10792e4a762-23-20170531133947-4f6496,

expTime:6474783,

数据只有四项内容token(key)、ticket、Token

的失效时间。

为了安全考虑不会包含当前用户的任何信息每次后端需要获取Token

信息时应从

Token包括token(key)、生成时间、失效时间若客户端在最后的半个小时内没有发送任何请求那么两个小时后自动过期即该

Token

个小时有效期都是根据系统的业务需求所设计的策略方案。

为了防止客户端恶意的进行

Token

在exception文件夹下创建TokenValidationFailedException编写构造方法

public

TokenValidationFailedException(String

msg)

置换token需要生成一个新的token并且旧token不能立即失效应设置为置换后时间延长两分钟

兼容手机端和pc端

3置换token需要生成一个新的token并且旧token不能立即失效应设置为置换后时间延长两分钟*

private

Logger.getLogger(ItripUserServiceImpl.class);Overridepublic

String

TokenValidationFailedException(未知的Token或Token已过期);}Date

tokenGenTime;//生成时间try{//2生成token后的一个小时内不允许置换String[]

tokenDetails

token.split(-);SimpleDateFormat

format

SimpleDateFormat(yyyyMMddHHmmss);tokenGenTime

format.parse(tokenDetails[3]);}

catch

{e.printStackTrace();logger.error(e);throw

new

TokenValidationFailedException(token格式错误token);}long

passed

Calendar.getInstance().getTimeInMillis()-tokenGenTime.getTime();if

(passed

TokenValidationFailedException(token处于置换保护时间剩余(REPLACEMENT_PROTECTION_TIMEOUT)*1000(s),禁止置换);}

3置换token需要生成一个新的token并且旧token不能立即失效应设置为置换后时间延长两分钟String

newToken

redisAPI.ttl(token);//token有效时期//4,兼容手机端和pc端if

(ttl

this.generateToken(agent,itripUser);this.save(newToken,itripUser);redisAPI.set(token,REPLACEMENT_DELAY,JSON.toJSONString(itripUser));}else

{throw

TokenValidationFailedException(当前token的过期时间异常禁止置换);}return

newToken;}添加TokenController引入tokenService并编写置换token方法retoken

Autowiredprivate

tokenService;RequestMapping(value

/retoken,method

application/json)ResponseBodypublic

Dto

request.getHeader(user-agent);String

token

tokenService.replaceToken(agent,

token);ItripTokenVo

ItripTokenVo(Calendar.getInstance().getTimeInMillis()

TokenService.SESSION_TIMEOUT*1000,Calendar.getInstance().getTimeInMillis(),newToken);return

DtoUtil.returnDataSuccess(itripTokenVo);}

catch

DtoUtil.returnFail(e.getMessage(),

ErrorCode.AUTH_AUTHENTICATION_FAILED);}}启动tomcat登录爱旅行在redis中会有当前用户的token使用postman可以测试如测试结果msg返回‘token处于置换保护时间剩余3600000(s),禁止置换’则正常

5.前/后端具体实现

Accept:application/json;charsetutf-8,

Content-Type:application/json;charsetutf-8,

//从

token:token:PC-3066014fa0b10792e4a762-23-20170531133947-4f6496

typepost,