QQ、微信 唯一登陆设计
唯一登陆设计指一个账号可以在多个不同的客户端进行登陆,例如PC、Android、IOS等。每一个客户端就会生成一个对应的tokan,相当于生成三个token分别对应不同的客户端。
但是同一个客户端同时只能有一个用户登陆,例如:在PC端同时只能有一个人登陆生成了对应的token,如果这时候有人用此账号在PC端再次登陆,原先生成的token就会被清除掉。
token 在PC端存放在cookie中,Android或者IOS token存放在本地文件中
用户退出或者用户修改密码的情况 对当前登录的用户 token 状态进行标示。
token 无法 100%的防止伪造,通过XSS 就可以拿到你本地token等信息。只能尽可能的提高安全性,使用短信验证码 确认是本人操作等方法。