参考书籍:《App后台开发运维和架构实践》
作者：曾健生

App操作中经常涉及用户登录操作，用户登录就需要使用用户名和密码。
那么问题来了：
登录过程中怎样才能最大程度地避免泄露用户的密码的可能呢？
用户登录后，App后台怎么去验证和维持用户的登录状态呢？

基本的用户登录方案

基本流程：

1.用户登录操作；
2.用户登录后验证身份的操作；
3.用户退出登录的操作。

转换为计算机的操作：

1.App后台接收到App发送的用户名和密码后，验证用户名和密码是否正确。如果错误返回错误信息。

2.如果App后台验证正确，生成一个随机的不重复的token字符串(例如：daf32da456hfdh)，token字符串作为用户的唯一标识(token就是上面例子中提到的钥匙)。

3.在Redis中建立token字符串和用户信息的对应关系，例如，token字符串和id为6的用户对应。

4.App后台把token字符串和用户信息返回给App，App保存这些数据作为以后身份验证的必备数据。

5.需要验证用户身份的操作必须要把token字符串传给App后台验证身份。
eg：test.com/user/update?token=daf32da456hfdh

6.当用户退出登录时，通过调用退出登录的API，让App后台把用户对应的token字符串删掉。

注意：
身份验证依赖于token字符串，如果用户泄露了自己的URL，那token也有很大可能泄露。改进方法，就是不在网络上传输token，这种方法叫做URL签名。

URL签名

1.App后台中用户名和密码验证正确后，把token字符串和用户信息返回给App。

2.App用token字符串和URL的md5值作为URL签名sign。
eg：sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh")= 6dac4026135a123a3cf809a1f1bf1d2a
API请求加上URL签名sign和用户id后如下所示：
eg：test.com/user/info?userId=5&sign=6dac4026135a123a3cf809a1f1bf1d2a
这样token就不需要附在URL上面。

注意：上述URL签名方法有一个问题：因为API请求没有过期时间，如果黑客截获了这个API请求的URL，就能反复调用了。改进方法是在传递的参数中增加时间戳，当后台发现这个时间戳相隔当前时间很久的，就判断这个URL已经失效。
那App端的时间可能和后台的时间不一致，所以，为了保证一致，App每次启动时通过API获取App后台的时间，保存App端和后台的时间差，App端就用这个时间差调整其生成时间戳。
eg：App后台某一刻时间是1444692778，App时间是1444692775，时间差为3，当App端在时间为1425860754向后台发送API请求时，时间戳为：1425860757。

App用token字符串和时间戳生成的md5值作为URL签名sign。
eg：sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh&timeStamp=1425860757")= 6dac4026135a123a3cf809a1f1bf1d2a
API请求加上URL签名sign和用户id后如下所示：
eg：test.com/user/info?userId=5&timeStamp=1425860757&sign=6dac4026135a123a3cf809a1f1bf1d2a

API请求使用了HTTPS协议也不能保证绝对安全，万一基于HTTPS的API请求被黑客截获，使用URL签名会有3个问题：

• 当用户登录后，App后台返回给App的信息没加密，有被截取的风险。
• URL签名只能保护token值不泄露，但没法保护其他敏感数据。
• URL被黑客截获后还是能在一段时间内调用。
  使用AES对称加密可以解决上面3个问题。

AES对称加密

1.原理：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

2.格式：AES加密(data，secretKey)

3.AES算法加密App后台返回的token

• 用户登录后获得个人信息。
  eg：{"userId":6,"name":"Home","token":"daf32da456hfdh"}
• 用时间戳生成HTTP请求头Token-Param。
  eg：Token-Param：1425860757
• 取请求头的22位长度作为密钥secretKey。
• 用AES算法把个人信息用密钥加密，再进行base64位编码，最后用HTTPS协议返回给App。HTTPS协议内容如下：

| HTTP URL | https://test.com/API/login |
| ------------- |:-------------:|
| HTTP返回方式 | post |
| HTTP返回头 | Token-Param：1425860757 |
| HTTP body | Base64Encode |

4.客户端解密App后台返回的内容：

• 取HTTPS协议中的Token-Param作为密钥。
• 把HTTP body的数据先用base64算法解码，用AES算法把解码后的数据用密钥解密，获取个人信息。

5.AES算法加密请求过程中所有的敏感数据
AES同时加密了token和用户数据两方面的数据。
例如客户端加密更新用户昵称：

• 客户端昵称数据
• 客户程序中得到当前的时间戳
• 用时间戳生成请求头
• 取请求头的22位长度作为密钥，用AES算法把token用密钥加密，再用base64编码得到新的HTTP请求头Token-Data。
• 用Token-Data作为密钥2，用AES算法把昵称数据用密钥2加密，再用base64编码得到HTTP body。