iOS开发，让数据更安全的几个加密方式

其他参考： iOS开发，让数据更安全的几个加密方式

本文摘自：iOS登录及token的业务逻辑

如果是即时通信类:长连接。
那如何保证服务器跟客户端保持长连接状态?
答："心跳包" 用来检测用户是否在线!用来做长连接!

登录的网络请求方式一般是http请求（http请求是短连接）——只要登录成功之后,服务器就会和 app 断开连接.
http:是短连接.
http:短连接使用token 机制来验证用户安全性

token是指OAuth的accessToken和refreshToken

自动登录

①最简单的：直存user password，拿来做示例程序可行。
②次简单的：本地预存token，一般要求不高的产品足够了。
③标准的：带时效检测的token，过时更换token。
④较安全的：多层token，比如上面Jeff Yang说的，两层的token。我还见过3层的，但基本原理差不多，其实就是更复杂的机制获取token来保证安全性。


一般的实现方法是，客户端在第一次登录后，服务端会同时返回一个access token和refresh token。
access token有失效期，相对较短，用于每次和服务端通信的身份校验。
（可以看出：access token使用非常频繁，在网络中频繁传输会增大被盗取的可能性，容易被截获，所以有效时长应该较短）

refresh token用于access token失效后换取新的access token时的校验，成功后返回新的access token和新的refresh token。
(可以看出：refresh token只有在更新access token时才会在网络中传输一次，相对安全）

服务器如何判断当前用户是否登录?

token 值的生成与获取:
当用户首次登录成功之后, 服务器端就会根据用户的信息(账号/密码/身份认证机制(电话号/身份证号/支付宝账号/银行卡信息)...)生成一个唯一性的 token 值，来用于标识用户身份的值，并将这个token值返回给客户端。

①服务器对token值的处理：
* 会在服务器保存token值(保存在数据库中)
* 将这个token值返回给客户端.

②客户端拿到 token 值之后,对token值的处理，一般为将其保存下来，而保存的位置一般为下面两个位置 :
1. 将 token 保存在 cookie 中;
2.将 token 保存在沙盒中,作为一个公共参数传递.

token 值: 登录令牌! 用来判断当前用户的登录状态!

趋势: 登录成功后的所有的网络接口基本都会要求带 token 值这个参数.但是呢,这个参数对于有些接口来说不是必要的参数.

如登录成功后，客户端再发送的网络请求，就会将这个 token 值附带到参数中(公共参数)发送给服务器。服务器接收到客户端的请求之后，会取出token值与保存在服务器本地(数据库)中的token值做对比!
①如果两个 token 值相同 :说明用户登录成功过!当前用户处于登录状态!
②如果没有这个 token 值, 说明没有登录成功.
③如果 token 值不同: 说明原来的登录信息已经失效,让用户重新登录.

token 值失效问题:

1、token的有效时间:
①如果 app 是新闻类/游戏类/聊天类等需要长时间用户粘性的. 一般可以设置1年的有效时间!
②如果 app 是 支付类/银行类的. 一般token只得有效时间比较短: 15分钟左右!
所以，如果超过有效时间，则token自动失效。

2、token 值用来做设备唯一性登录判断!
每次登录之后,无论用户密码是否改变,只要调用登录接口并且登录成功,都会在服务器生成新的token值,原来的token值就会失效!
典型的 app : 打车软件类

拓展: 多台设备同时登录. 设备唯一性登录!
比如说QQ：允许在①电脑客户端登录，②手机客户端登录, ③网页端登录。如果超出这三个端，想要在另外一个相同的端登录(比如已经登录了手机客户端了，还要在另一台手机客户端上登录)，那么我们需要使对应的端的token失效，来保证一个账号一个端只登录一次。

问：具体我们怎么做呢？
答：我们可以根据不同登录端，设置不同token。登录的时候，根据该登录端，来检测token 是否过期。 根据登录的数量 可以判断最大支持多少个设备同时登录
如果允许多台设备同时登录  ，并且可以设置最大的登录数量的时候。

二、token的高级用法

2.1 token值失效

token值失效! ---- 数据同步有关!
密码可以随时修改! ----- 当修改了密码之后,原来的 token 值就会失效, 服务器会返回一个新的 token.

数据同步 : pc 端/网页浏览 --- 和 app 端可以同时登陆!

例子：实现我们在手机和笔记本上同时QQ在线，但是我们在手机上修改了QQ的密码。那么笔记本会是什么样子的呢？
1、笔记本还是在登陆状态，但是在我们退出后再次登录时无法实现自动登录>>我们在自动登录时判断登录状态，同时判断token只是否改变。
2、在我们进行网络请求时，就出现问题提示我们密码已修改——这说明我们的网络请求使用到token值。
判断用户的登录状态: 不仅判断是否登录成功, 还要判断密码(token值)是否改变,是否需要用户再次登录,是否需要重置密码!