app后端session共享问题

在分布式中,session如何共享,用户登陆要解决的问题如下图所示,通过nignx请求转发,到不同的应用模块中,需要判断用户有没有登陆验证通过,问题又来了,app的移动端不像浏览器,没有cookie,session,那么怎么搞呢?这时可以使用session外置方式解决,用redis统一管理session,用redis来模拟session。浏览器的session都是有状态的,但是移动端的session都是无状态的,不创建session,我们通过用户登陆时生成一个token(session) ,token存在redis设置超时,用户每次请求都带着token到服务端做校验,token代表唯一用户,如何保密?

解决的办法就是登陆获取token的时候,传输的时候要加密,那用什么加密呢?MD5是一种数字签名,不可逆的,明显行不通,因为没办法反解密。那么如果用对称加密算法AES呢?,AES优点在于效率高,这样就安全了吗?明显不可以,因为网络传输的时候你加密的key是可以被人截获破解的,安全性依赖于key。那么试想如果用非对称加密RSA呢,用公钥+明文加密=密文。传输给服务端,服务端保存着非对称的私钥,用私钥+密文=明文,就算被截获了公钥,也没用,因为没有私钥,私钥保存在服务端,这固然已经事很高的安全性了,但是又面临有个问题,这种加密方式效率性极差。这固然不行的,但是如果通过非对称RSA公钥加密对称加密AES的key,再用RSA的私钥解密AES的key,再用得到的key,进行对称解密。这样问题,引刃而解了。而且最后那种方案的公钥和私钥都是动态的生成的。这已经安全性很高了。要破解,成本已经很高了。

 

 

posted @ 2017-12-15 23:10  国见比吕  阅读(5991)  评论(0编辑  收藏  举报