1.1 登录验证

1. 客户端向服务器第一次发起登录请求（不传输用户名和密码）。

2. 服务器利用RSA算法产生一对公钥和私钥。并保留私钥， 将公钥发送给客户端。

3. 客户端收到公钥后， 加密用户密码，向服务器发送用户名和加密后的用户密码； 同时另外产生一对公钥和私钥，自己保留私钥, 向服务器发送公钥； 于是第二次登录请求传输了用户名和加密后的密码以及客户端生成的公钥。

4. 服务器利用保留的私钥对密文进行解密，得到真正的密码。 经过判断， 确定用户可以登录后，生成sessionId和token， 同时利用客户端发送的公钥，对token进行加密。最后将sessionId和加密后的token返还给客户端。

5. 客户端利用自己生成的私钥对token密文解密， 得到真正的token。

1.2 登录保持

      在最原始的方案中， 登录保持仅仅靠服务器生成的sessionId: 客户端的请求中带上sessionId, 如果服务器的redis中存在这个id，就认为请求来自相应的登录客户端。 但是只要sessionId被截获， 请求就可以为伪造， 存在安全隐患。

       引入token后，上述问题得到解决。 服务器将token和其它的一些变量， 利用散列加密算法得到签名后，连同sessionId一并发送给服务器； 服务器取出保存于服务器端的token,利用相同的法则生成校验签名， 如果客户端签名与服务器的校验签名一致， 就认为请求来自登录的客户端。

1.3 TOKEN失效

用户登录出系统

失效原理：

在服务器端的redis中删除相应key为session的键值对。