一般情况,服务器随机生成token,并以token为key,将用户信息保存在redis中,并且将token返回客户端。此思路无法做到指定用户下线。
如果要实现指定用户下线,token要通过固定的格式来生成。通过客户端类型、用户ID、随机字符串的随意编码来生成token。如这三个属性通过冒号隔开
web:{md5(userId)}:{随机字符串}
另外,如果还是想让客户端更加严密,可以将如上这个key,再通对称算法加密或者base64编码一下。这样下发下去的token可能会相对安全、严谨一点。redis中还是通过这个key来保存用户信息。
思路如上图所示:
WEB、IOS两个端在登录成功之后,拥有只属于当前客户端的token。这个token是由{客户端类型}:{md5(userId)}:{token} 组成,其中token可以是一个随机字符串,如UUID,这个token在用户登录成功时分配,保证不重复即可。token生成之后,将数据保存在redis中。如已经存在则替换即可。Redis的key,通过{客户端类型}:{md5(userId)}组成。value保存用户信息+客户端的token。token是否有效时,首先检验Redis是否存在当前key,并且验证客户端的token是否与Value中一致。IOS客户端,第二个IOS客户端登录时,虽然redis中同样Key数据还存在,但是里面的token已经变化。因此,第一个客户端将无法通过鉴权验证。另外,一般情况下只操作redis即可。替换redis数据或者删除redis数据。这样在客户端下一次请求时,就会鉴权失败,并且主动返回到登录页面。有一些特殊场景,无法等待到下一次http接口请求就要提示session失效。如:
这种情况,需要通过长连接来下发消息,使得客户端收到消息之后立刻提示session失效。
本人拙见,有更好的思路,请留言交流~