主题 : 用户登录，返回一个authtoken用来验证！常用什么方法保存这个token最好呢？
级别: 新手上路
可可豆: 60 CB
威望: 62 点
在线时间: 8(时)
发自: Web Page
来源于&&分类
用户登录，返回一个authtoken用来验证！常用什么方法保存这个token最好呢？&&&
用户登录，返回一个authtoken用来验证！常用什么方法保存这个token最好呢？
级别: 新手上路
可可豆: 102 CB
威望: 94 点
在线时间: 116(时)
发自: Web Page
回 楼主(samgell) 的帖子
应用需要push notification给手机时，需要deviceToken，本地保存只是为了方便上传给服务器。NSUserDefaults就可以吧。
级别: 骑士
UID: 23566
可可豆: 850 CB
威望: 851 点
在线时间: 764(时)
发自: Web Page
存成文件，估计你这个token还会有存活周期一说吧.
关注本帖(如果有新回复会站内信通知您)
苹果公司现任CEO是谁？2字 正确答案:库克
发帖、回帖都会得到可观的积分奖励。
按"Ctrl+Enter"直接提交
关注CocoaChina
关注微信 每日推荐
扫一扫 浏览移动版问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
在保持多步骤流程一致性时我需要用到token（比如找回密码）：
步骤1，用户提交要找回密码的用户名和验证码，我生成token1，返回页面中包含这个token1
步骤2，用户提交他收到的短信验证码和token1，我根据token1来识别是哪个用户，短信验证码是否正确，token是否过期，这个token的使用场景是否正确，如果都有效，我生成一个token2，返回页面包含这个token2
步骤3，用户提交他的新密码和token2，我根据token2来找出是哪个用户，最后重置那个用户的密码
这里的token都有时效性，我存在mysql里，每天都要跑cron job来删除过期的token，这样不太好吧，我应该怎么存token？或者有更好的办法？
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
token可以使用 md5(username+userid+timestamp)_timestamp，这种格式的token基本上不会重复了，同时尾部的timestample也能用于过期检测。
对于一个用户来说通常一个token就够了，当你生成第二个token的时候第一个已经失效了，所以可以直接update掉，这样每个用户最多有一个token就不需要考虑删除的问题了，当然在token被验证有效地时候应该把数据库中的token set null，防止同一个token被二次验证。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
token不需要存储的，你可以使用AES的可逆向加/解密算法对数据进行加密，如aes.ecode(userId+time+info+key(密钥))，生成token后把这个串传回给客户端，不需要保存，等下次他传回给你的时候你只需要aes.decode(token)解密一下就可以获得这里面的用户信息与当前登陆的用户信息对比一下就行了
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
或者不用储存token，有效性信息就放在token里，你看看这个
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
token不用存mysql吧，存内存就好了。
一个线程轮训删除过期的token数据。
当然你会说宕机了，内存数据就没了，但是基于找回密码的操作不常有，这个数据不会太多，而时效性一般不会太长，如果真遇到宕机，宕机了用户也无法访问了啊，故这个token就废弃也无所谓，让用户重新提交找回操作。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
可以存memcahe或redis里，缓存设定时间过期。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
我一般直接存session
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
token 我是用md5 用户名加 现有密码生成....
然后记录下时间
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
存redis，设置过期时间是最方便的
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
token类似于单个web工程中使用的session，保存起来便于查看访问日志，不保存也可以，但每个模块和功能的操作日志最好记录一下，以便后期运营和维护使用。
同步到新浪微博
分享到微博？
你好！看起来你挺喜欢这个内容，但是你还没有注册帐号。 当你创建了帐号，我们能准确地追踪你关注的问题，在有新答案或内容的时候收到网页和邮件通知。还能直接向作者咨询更多细节。如果上面的内容有帮助，记得点赞 (????)? 表示感谢。
明天提醒我
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
扫扫下载 App问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
如图：?_=这里是token
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
这是 csrf token。
分享到微博？
你好！看起来你挺喜欢这个内容，但是你还没有注册帐号。 当你创建了帐号，我们能准确地追踪你关注的问题，在有新答案或内容的时候收到网页和邮件通知。还能直接向作者咨询更多细节。如果上面的内容有帮助，记得点赞 (????)? 表示感谢。
明天提醒我
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
扫扫下载 AppStruts的Token（令牌）机制能够很好的解决表单重复提交的问题，基本原理是：服务器端在处理到达的请求之前，会将请求中包含的令牌值与保存在当前用户会话中的令牌值进行比较，看是否匹配。在处理完该请求后，且在答复发送给客户端之前，将会产生一个新的令牌，该令牌除传给客户端以外，也会将用户会话中保存的旧的令牌进行替换。这样如果用户回退到刚才的提交页面并再次提交的话，客户端传过来的令牌就和服务器端的令牌不一致，从而有效地防止了重复提交的发生。
这时其实也就是两点，第一：你需要在请求中有这个令牌值，请求中的令牌值如何保存，其实就和我们平时在页面中保存一些信息是一样的，通过隐藏字段来保存，保存的形式如： 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aafd996c4c918255c3ae"〉，这个value是TokenProcessor类中的generateToken()获得的，是根据当前用户的session id和当前时间的long值来计算的。第二：在客户端提交后，我们要根据判断在请求中包含的值是否和服务器的令牌一致，因为服务器每次提交都会生成新的Token，所以，如果是重复提交，客户端的Token值和服务器端的Token值就会不一致。下面就以在数据库中插入一条数据来说明如何防止重复提交。
在Action中的add方法中，我们需要将Token值明确的要求保存在页面中，只需增加一条语句：saveToken(request);，如下所示：
public ActionForward add(ActionMapping mapping, ActionForm
HttpServletRequest request, HttpServletResponse response)
//前面的处理省略
saveToken(request);
return mapping.findForward("add");
}在Action的insert方法中，我们根据表单中的Token值与服务器端的Token值比较，如下所示：
public ActionForward insert(ActionMapping mapping, ActionForm
HttpServletRequest request, HttpServletResponse response)
if (isTokenValid(request, true)) {
// 表单不是重复提交
//这里是保存数据的代码
//表单重复提交
saveToken(request);
//其它的处理代码
其实使用起来很简单，举个最简单、最需要使用这个的例子：
一般控制重复提交主要是用在对数据库操作的控制上，比如插入、更新、删除等，由于更新、删除一般都是通过id来操作（例如：updateXXXById, removeXXXById），所以这类操作控制的意义不是很大（不排除个别现象），重复提交的控制也就主要是在插入时的控制了。
先说一下，我们目前所做项目的情况：
目前的项目是用Struts＋Spring＋Ibatis，页面用jstl，Struts复杂View层，Spring在Service层提供事务控制，Ibatis是用来代替JDBC，所有页面的访问都不是直接访问jsp，而是访问Structs的Action，再由Action来Forward到一个Jsp，所有针对数据库的操作，比如取数据或修改数据，都是在Action里面完成，所有的Action一般都继承BaseDispatchAction，这个是自己建立的类，目的是为所有的Action做一些统一的控制，在Struts层，对于一个功能，我们一般分为两个Action，一个Action里的功能是不需要调用Struts的验证功能的（常见的方法名称有add,edit,remove,view,list），另一个是需要调用Struts的验证功能的（常见的方法名称有insert,update）。
就拿论坛发贴来说吧，论坛发贴首先需要跳转到一个页面，你可以填写帖子的主题和内容，填写完后，单击“提交”，贴子就发表了，所以这里经过两个步骤：
1、转到一个新增的页面，在Action里我们一般称为add，例如：
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
//这一句是输出调试信息，表示代码执行到这一段了
log.debug(":: action - subject add");
//your code here
//这里保存Token值
saveToken(request);
//跳转到add页面，在Structs-config.xml里面定义，例如，跳转到subjectAdd.jsp
return mapping.findForward("add");
2、在填写标题和内容后，选择 提交 ，会提交到insert方法，在insert方法里判断，是否重复提交了。
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response){
if (isTokenValid(request, true)) {
// 表单不是重复提交
//这里是保存数据的代码
//表单重复提交
saveToken(request);
//其它的处理代码
下面更详细一点（注意，下面所有的代码使用全角括号）：
1、你想发贴时，点击“我要发贴”链接的代码可以里这样的：
〈html:link action="subject.do?method=add"〉我要发贴〈/html:link〉
subject.do 和 method 这些在struct-config.xml如何定义我就不说了，点击链接后，会执行subject.do的add方法，代码如上面说的，跳转到subjectAdd.jsp页面。页面的代码大概如下：
〈html:form action="subjectForm.do?method=insert"〉
〈html:text property="title" /〉
〈html:textarea property="content" /〉
〈html:submit property="发表" /〉
〈html:reset property="重填" /〉
〈html:form〉
如果你在add方法里加了“saveToken(request);”这一句，那在subjectAdd.jsp生成的页面上，会多一个隐藏字段，类似于这样〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aafd996c4c918255c3ae"〉，
2、点击发表后，表单提交到subjectForm.do里的insert方法后，你在insert方法里要将表单的数据插入到数据库中，如果没有进行重复提交的控制，那么每点击一次浏览器的刷新按钮，都会在数据库中插入一条相同的记录，增加下面的代码，你就可以控制用户的重复提交了。
if (isTokenValid(request, true)) {
// 表单不是重复提交
//这里是保存数据的代码
//表单重复提交
saveToken(request);
//其它的处理代码
注意，你必须在add方法里使用了saveToken(request)，你才能在insert里判断，否则，你每次保存操作都是重复提交。
记住一点，Struts在你每次访问Action的时候，都会产生一个令牌，保存在你的Session里面，如果你在Action里的函数里面，使用了saveToken(request);，那么这个令牌也会保存在这个Action所Forward到的jsp所生成的静态页面里。
如果你在你Action的方法里使用了isTokenValid，那么Struts会将你从你的request里面去获取这个令牌值，然后和Session里的令牌值做比较，如果两者相等，就不是重复提交，如果不相等，就是重复提交了。
由于我们项目的所有Action都是继承自BaseDispatchAction这个类，所以我们基本上都是在这个类里面做了表单重复提交的控制，默认是控制add方法和insert方法，如果需要控制其它的方法，就自己手动写上面这些代码，否则是不需要手写的，控制的代码如下：
public abstract class BaseDispatchAction extends BaseAction {
protected ActionForward perform(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
String parameter = mapping.getParameter();
String name = request.getParameter(parameter);
if (null == name) { //如果没有指定 method ，则默认为 list
name = "list";
if ("add".equals(name)) {
if ("add".equals(name)) {
saveToken(request);
} else if ("insert".equals(name)) {
if (!isTokenValid(request, true)) {
resetToken(request);
saveError(request, new ActionMessage("error.repeatSubmit"));
log.error("重复提交！");
return mapping.findForward("error");
return dispatchMethod2(mapping, form, request, response, name);
已投稿到：}