登录的Android客户端应该在每次请求时都收到auth-token，还是需要注销/登录才能获得新的token？

Question

从安全的角度来看，在Android客户端注销(或令牌过期)并重新登录之前，我应该避免给他们一个新的移动身份验证令牌吗？

或者，是否可以在每次请求时为登录用户提供一个新令牌，以便他们可以无限期地保持登录状态？

我正在开发一个有Rails后端的Android应用程序，但我是Android部分的新手，并试图避免明显的错误。

Answer 1

第一个选项，你不应该在每个请求中生成新的t need and don。

如果您希望保持良好的安全性lvl，您可以生成一个来宾令牌，然后生成一个已记录的用户令牌，并检查其用户代理是否在同一会话的请求中发生更改。