用aes-256加密username和token么？ 貌似为了安全因素 通常不保存password在cookie当中吧？ 即便是对称加密过的
--
FROM 110.23.10.*

生成的是带时效的token。
python有个itsdangeours库，专门干这个。

【 在 facilitator 的大作中提到: 】
: 用aes-256加密username和token么？ 貌似为了安全因素 通常不保存password在cookie当中吧？ 即便是对称加密过的
--
FROM 111.85.168.*

user的table应该存储用户的基本信息
你这个是session的相关东西，每次登陆session都会更新，应该放在一个独立的session表格里
【 在 facilitator 的大作中提到: 】
: 恩 多谢
: 我今天已改成把token和过期时间存在user数据表里了 之前是把明文md5密码存在client端的cookie里 发现做法不太专业 而固定密码的aes-256加密结果每次看上去都差不多 感觉很容易被破解 所以换成了随机生成的aes-256加密
:
--
FROM 115.70.49.*

还不用这redis。因为有人造好轮子了。
库自动生成带时限的token，同时也有自动验证token的函数。
只需要知道帐号和加密的密码，token的时限也被包含在token里的。
你说的redis是用在多个服务器共享session的情况。


【 在 facilitator 的大作中提到: 】
: 多谢指点
: 因为每次API访问 都query用户数据表(mongodb)来验证用户id 所以感觉把token存在用户表了似乎也并没有显著增加数据库的负担
: BTW 我做的就是一个要deploy在shared cloud上的小型服务 针对的是只有三千万人口的澳洲市场 就算做得很成功 也就是几万用户同时在线吧 感觉后端的REST API的负担也不会太严重 目前考虑主要目标就是安全达标 然后节省开发时间
: ...................
--
FROM 111.85.172.*

挺好，有Connect，node.js做AOP也挺方便的。
【 在 facilitator 的大作中提到: 】
: 好吧 多谢 我就当自己学习一下 感觉多少自己造点轮子才能加深理解
:
--
FROM 111.196.4.*