在做一个手机应用，请问如下方式进行用户身份验证是否合理。

This topic created in 4102 days ago, the information mentioned may be changed or developed.

用户登录进来后系统生成一个Token并返回给客户端，以后客户端所有查询均发送由『用户名+设备ID+Token+时间戳』取经过哈希计算的结果，同时传给服务器用户名和时间戳。

服务器根据用户名查询到用户的设备ID和Token，用传递过来的时间戳做同样的运算，如果结果相同则认为验证通过。

时间戳给个有效期如果超过有效期则直接拒绝。

本应用要求用户绑定手机，所以设备ID绑定后不变。

请问这个思路是否合理。

用户名

token

有效期

9 replies • 2015-04-08 20:52:46 +08:00

virusdefender

Apr 7, 2015

没问题吧

honeycomb

Apr 7, 2015

怎么都想拿设备ID呢，这个东西给伪造值呢？

thinkif

Apr 7, 2015 via iPhone

@honeycomb
有什么别的办法绑定设备么？
另外是个内部应用，绑定设备是为了便于管理

honeycomb

Apr 7, 2015

@thinkif

苹果就拿不到直接的设备ID
虽然可以随机生成一个丢keychain，但恢复出厂后也会消失

thinkif

Apr 7, 2015 via iPhone

@honeycomb
那没事，后台有授权管理，接触绑定就可以了。

现在就是想论证一下身份验证是否有不妥的地方

honeycomb

Apr 8, 2015

@thinkif 拿设备串号就是不妥呀

thinkif

Apr 8, 2015

@honeycomb
已感谢，给你回回血 :)

重点不是设备ID，或者说我不用设备ID，也不验证设备唯一性，光说这个校验的思路是否有问题，有没有其他更好的方式。

之前在网上找了很多，大概都是差不多的方式：登录获取Token，本地计算出Sign，可能算法会略有不同，服务器校验Sign并考虑过期时间。

在这发帖子就是想问这样是否合理，是否有更好的方法值得尝试。

honeycomb

Apr 8, 2015

@thinkif

抱歉我说的偏激

应该更正一下：
以广告、营销的用户追踪为目的情况下不应记录可永久/半永久唯一识别设备的信息

拿Android来说
IMEI/MEID
MAC
Android ID
都不能获取

不能跨应用共享同一家用户追踪方案提供者的数据

thinkif

Apr 8, 2015

@honeycomb
你想的复杂了，如同我在三楼回复时提到的，这是个内部应用。