判断Token是否有效


  现在应用获取到的Token是这个结构:
图片描述

  我使用了一个管理Token获取的类,在获取token之后的有效期内,直接将token存下来并提供其他类调用;然后根据有效期和外部调用的时间来判断是否需要再次申请新的Token。这个方法很直接而且也没出过什么问题。
  但是现在碰到一个情况,用户在这个类 获取到token 之后, 手动改变 了系统时间,比如说把系统时间往回调了一个小时,这样就导致 判断token是否失效不准确 了。
  虽然说这样的问题只是需要再次申请Token就够了,但是有没有一种源头上的方法在管理Token的类里面解决这种或者类似这种问题的?

Android oauth

axing 9 years, 10 months ago

1.

所有 修改系统时间的问题都可以通过添加 nanoTime 验证来解决.

System.nanoTime();


 /**
     * Returns the current timestamp of the most precise timer available on the
     * local system, in nanoseconds. Equivalent to Linux's {@code CLOCK_MONOTONIC}.
     *
     * <p>This timestamp should only be used to measure a duration by comparing it
     * against another timestamp on the same device.
     * Values returned by this method do not have a defined correspondence to
     * wall clock times; the zero value is typically whenever the device last booted.
     * Use {@link #currentTimeMillis} if you want to know what time it is.
     */
    public static native long nanoTime();

注意nanoTime返回的不是UTC时间,是开机以后经过的时间.不受系统时间影响.

2.

在实际项目中,我现在的处理方案是,根本就不记录expires.
在网络层会封装各种错误,token失效会触发一个401错误
在错误分发器上,我主动拦截该错误并发起一个事件(REFRESH_TOKEN)

用Event Dispatch框架(EventBus,otto之类的)在上层接受该事件,并把用户直接导向登录界面或弹出Alert确认框

咿呀咿呀咿呀 answered 9 years, 10 months ago

应以服务器时间为准 可以服务器端提供返回时间戳的接口

冰茶999 answered 9 years, 10 months ago

Your Answer