先声明本人是Java初学者，仅写自己感悟，不专业处，仅供参考。

最近在弄Java后台接口加密，公司之前的后台接口加密方式是，用户在登录接口成功后，生成一个userToken，还有一个userTokenExpire也就是userToken过期时间，把这两个字段更新存入数据库对应user表，然后把userId和userToken这两个字段返给客户端保存，后面在每个需要验证的接口，客户端都传给服务器userId和一个apiToken，期中apiToken的生成规则是，当前时间年月日+接口Url+userToken进行两次MD5加密，客户端在收到请求后根据userId去user数据库去查用户信息，查不到返回uerId错误，查到再判断userTokenExpire是否过期，如果过期，直接返回，并提示客户端身份信息过期，请重新登录，userTokenExpire没有过期情况下从数据库user表里取出userToken，用和客户端同样的方式即当前时间年月日+接口Url+userToken进行两次MD5加密生成apiToken，进行比较，相同则验证通过继续执行接口逻辑，不相同直接返回，提示客户端apiToken错误。

这两天又接触了JWT，Json Web Token认证技术该技术比较成熟，感兴趣的可以自行百度，大致分为头部，荷载(可以存一些不重要的信息)，签证这三部分，请求头一般放加密方式，荷载这里面信息可以存放签发时间，过期时间，等，签证是用前面两部分内容再结合secret服务器私钥检验，用来检验整个信息是否合法，是否是该服务器发出的。然后将这三者分别Base64加密用逗号隔开生存token在登陆时传给客户端，后面在需要验证的接口请求头部，客户端再传给服务器验证。

总结第二种方式和第一种方式比较，第二种方式不需要第一种方式那样专门在数据库存一个userTokenExpire用来记录token过期时间，直接在荷载里记录，且第二种方式在每个接口不用去查询数据库user表，减少数据库操作。且第一种apiToken生成的方式看似很安全，但是客户端源代码很容易暴露，一旦暴露作用也不大。

不管咋样，如果在登录接口就不安全，token就暴露了，啥都白搭，但用JWT技术用比“裸奔”强，后面为了进一步安全所有请求都用Https即可。