app后端session共享问题

在分布式中，session如何共享，用户登陆要解决的问题如下图所示，通过nignx请求转发，到不同的应用模块中，需要判断用户有没有登陆验证通过，问题又来了，app的移动端不像浏览器，没有cookie,session,那么怎么搞呢？这时可以使用session外置方式解决，用redis统一管理session,用redis来模拟session。浏览器的session都是有状态的，但是移动端的session都是无状态的，不创建session,我们通过用户登陆时生成一个token(session) ，token存在redis设置超时，用户每次请求都带着token到服务端做校验，token代表唯一用户，如何保密？

解决的办法就是登陆获取token的时候，传输的时候要加密，那用什么加密呢？MD5是一种数字签名，不可逆的，明显行不通，因为没办法反解密。那么如果用对称加密算法AES呢？，AES优点在于效率高，这样就安全了吗？明显不可以，因为网络传输的时候你加密的key是可以被人截获破解的，安全性依赖于key。那么试想如果用非对称加密RSA呢，用公钥+明文加密=密文。传输给服务端，服务端保存着非对称的私钥，用私钥+密文=明文，就算被截获了公钥，也没用，因为没有私钥，私钥保存在服务端，这固然已经事很高的安全性了，但是又面临有个问题，这种加密方式效率性极差。这固然不行的，但是如果通过非对称RSA公钥加密对称加密AES的key,再用RSA的私钥解密AES的key,再用得到的key,进行对称解密。这样问题，引刃而解了。而且最后那种方案的公钥和私钥都是动态的生成的。这已经安全性很高了。要破解，成本已经很高了。