php token的生成

最新推荐文章于 2023-10-19 21:59:35 发布
最新推荐文章于 2023-10-19 21:59:35 发布
阅读量95 收藏
点赞数
文章标签: php 测试 数据库
原文链接:http://www.cnblogs.com/hellowzd/p/6560699.html
版权

转载自:http://blog.snsgou.com/post-766.html

--->非开放性平台

--->公司内部产品

 

接口特点汇总:

1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;

2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;

3、有点接口需要用户登录才能访问;

4、有点接口不需要用户登录就可访问;

 

针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。

第一个token是针对接口的(api_token);

第二个token是针对用户的(user_token);

 

先说第一个token(api_token)

 

它的职责是保持接口访问的隐蔽性和有效性,保证接口只能给自家人用,怎么做到?参考思路如下:

现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下:

http://blog.snsgou.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2&参数名3=参数值3

 

接口token生成规则参考如下:

api_token = md5 ('模块名' + '控制器名' + '方法名' + '2013-12-18' + '加密密钥') = 770fed4ca2aabd20ae9a5dd774711de2

其中的 

1、 '2013-12-18' 为当天时间,

2、'加密密钥' 为私有的加密密钥,手机端需要在服务端注册一个“接口使用者”账号后,系统会分配一个账号及密码,数据表设计参考如下:

字段名字段类型注释
client_idvarchar(20)客户端ID
client_secretvarchar(20)客户端(加密)密钥

(注:只列出了核心字段,其它的再扩展吧!!!)

 

服务端接口校验,PHP实现流程如下:

01<?php
02// 1、获取 GET参数 值
03$module $_GET['mod'];
04$controller $_GET['ctl']
05$action $_GET['act'];
06$client_id $_GET['client_id'];
07$api_token $_GET[''api_token];
08 
09// 2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret
10$client_secret = getClientSecretById($client_id);
11 
12// 3、服务端重新生成一份 api_token
13$api_token_server = md5($module $controller $action .  date('Y-m-d', time()) .  $client_secret);
14 
15// 4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败
16if ($api_token != $api_token_server) {
17    exit('access deny');  // 拒绝访问
18}
19 
20// 5、验证通过,返回数据给客户端
21//。。。
22?>

 

再说第二个token(user_token)

 

它的职责是保护用户的用户名及密码多次提交,以防密码泄露。

如果接口需要用户登录,其访问流程如下:

1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https);

2、登录成功后,服务端返回一个 user_token,生成规则参考如下:

服务端用数据表维护user_token的状态,表设计如下:

字段名字段类型注释
user_idint用户ID
user_tokenvarchar(36)用户token
expire_timeint过期时间(Unix时间戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

服务端生成 user_token 后,返回给客户端(自己存储),客户端每次接口请求时,如果接口需要用户登录才能访问,则需要把 user_id 与 user_token 传回给服务端,服务端接受到这2个参数后,需要做以下几步:

1、检测 api_token的有效性;

2、删除过期的 user_token 表记录;

3、根据 user_id,user_token 获取表记录,如果表记录不存在,直接返回错误,如果记录存在,则进行下一步;

4、更新 user_token 的过期时间(延期,保证其有效期内连续操作不掉线);

5、返回接口数据;

 

接口用例如下:

 

1、发布日志

URL:  http://blog.snsgou.com/blog/Index/addBlog?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12

请求方式:  POST

POST参数:title=我是标题&content=我是内容

返回数据:

{
      'code' => 1, // 1:成功 0:失败
      'msg' => '操作成功' // 登录失败、无权访问
      'data' => []
}

转载于:https://www.cnblogs.com/hellowzd/p/6560699.html

diankui6178
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言-365 token生成
06-26
本源码只进行了JS扣取,JS处理   不涉及协yi 很早之前分析的 网站的JS是进行了混淆 分析难度还是很大的。 分析不易 希望手下留情。二次算法  非扣取 只调用了 精易模块
PHP token验证生成原理实例分析
10-16
主要介绍了PHP token验证生成原理,结合实例形式分析了phptoken验证原理与使用技巧,需要的朋友可以参考下
SpringBoot整合Redis使用x-auth-tonken实现Session共享
Jack_David的专栏
12-07 2445
文章目录SpringBoot整合Redis实现Session共享1、配置pom.xml文件2、配置application.properties文件3、配置启动类4、验证4.1、编写一个Controller类4.2、使用postman发送请求4.2.1、设置会话信息4.2.2、获取会话信息4.3、通过Redis Desktop Manager查看数据5、使用x-auth-token代替JSESSIONID5.1、配置HttpSessionStrategy5.1.1、 1.x版本的SpringBoot5.1.
使用Token进行身份验证
热门推荐
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 786
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
PHP token生成与校验
chengjianghao的博客
05-17 1559
【代码】PHP token生成与校验。
PHP APP开发 token 生成与验证封装类
07-18
PHP 在做APP后台时用到的TOKEN验证功能,现已封装成类,使用很方便,有完整的生成与验证机制,可控制TOKEN过期时间,生成端经过加密处理生成TOKEN字符,验证端解密后再验证TOKEN真正的TOKEN也是经过加密验证的,二...
php-token-stream:包装PHP的令牌生成器扩展
02-21
phpunit / php-token-stream 安装 您可以使用将该库作为本地的,基于项目的依赖项添加到您的项目中: composer require phpunit/php-token-stream 如果仅在开发过程中需要此库(例如,运行项目的测试套件),则应将...
vue生成token并保存到本地存储中
12-12
其实就是向用户表里去生成一个token 这里的client_id相当于用户名,client_key相当于密码,这样后台会生成一个client_token,我们需要把这个token保存到客户端中。 前端的资源一般放在另外的服务器中,这样后台需要...
浅谈token认证
weixin_43887870的博客
05-19 4610
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
毒X-Auth-Token
signature=的博客
12-28 1545
X-Auth-Token 是从服务器返回来的,但是需要提交几个参数,那这几个参数看看随便改动一下有啥效果没有。 Frida Hook函数验证数据 Frida Hook验证最终加密字符串(按照key字典升序,然后key+value遍历拼接) 需要验证SO内做了哪些操作,hook一下试试看,先用IDA分析一波,主要是看传进去的二进制字符串是啥东西.从他的命名规范来看是用的AES加密,由于是动态注册,我们需要找到so内的函数名. hook导出函数,验证传入的参数值,下图中hook到的参数2为密钥是死值:
fastadmin框架token验证
最新发布
精通前端技术,了解后端接口
10-19 898
Token验证是一种基于令牌(Token)的身份验证方式。在这种方式下,用户在登录成功后会获得一个令牌(Token),这个令牌包含了用户的身份信息以及其他相关信息。当用户发送请求时,需要携带这个令牌,服务端通过验证令牌的有效性来判断用户的身份和权限。Token验证是一种常见的身份验证方式,可以确保用户请求的安全性和合法性。在FastAdmin框架中,我们可以轻松地实现Token验证功能,通过验证Token来判断用户的身份和权限。希望本文对你理解FastAdmin框架中的Token验证有所帮助。
12月13日:跟着猫叔写代码,fastadmin中Api相关只是
qq_53457276的博客
12-13 1679
fastadmin中api相关操作
vue:如何携带token发送请求获取用户信息(会穿插一些关于aysnc&await执行顺序、宏任务&微任务相关知识)
m0_46339022的博客
12-11 3450
上一篇文章讲到了如何应用路由监听或组件重载让登录状态保持,这篇文章主要讲解如何携带token发送请求获取用户信息,会穿插一些关于aysnc&await执行顺序、宏任务&微任务相关知识,同时对一些在该过程中出现的bug进行分析。以上就是今天要讲的内容,下一篇该系列文章会将首页渲染完成,并开始处理详情页的渲染。
PHP多参数token生成与校验
一个人的Code博客
04-26 2242
1、密钥设置 public $secret_key = 'hgakdfkljalfdjlk';//私钥 2、调用方式 $info = ['user_id' => 1]; //生成密钥 $this->CreateToken( $info , 60 ); //校验密钥 $this->CheckToken($token); 3、基础方法 /** *功能:生成token *参数一:需要解密的密文 *参数二:密钥 */ funct
Token登录认证
.
08-15 5104
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。而且只要token设计的足够复杂,除非用户泄露,否则几乎没有被破解的可能,加上token是有时效的,在有限的时间加上有限的算力,更是无懈可击,这也类似于加密资产比如比特币钱包对应的私钥,安全性极高。另外Token可以有效减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
Token详解及安全验证
qq_59125846的博客
05-18 5294
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
php 生成自定义token进行验证
<?php echo '想起来了写一点'?>
09-30 890
/** * name: libo * Date: 2020/9/29 * 生成token */ public function actionObtaintoken($mobile){ //用户名、此时的时间戳,并将过期时间拼接在一起 // $mobile = '13718767XXX'; $admin = $mobile; //获取前台传来的用户账号 $time = time(); ...
Token的验证流程以及用法
successLadder的博客
07-18 3057
一、身份验证流程 1、用户向服务器发送用户名和密码。 2、服务端收到请求,去验证用户名与密码 3、验证成功后,服务端会签发一个 Token,将这个 Token 发送给客户端。 4、客户端收到 Token 以后可以把它存储起来,放在 Cookie 里或者 Local Storage 里 5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务器。 6、服务端收到请求,然后去验证客户...
php 生成token
03-31
PHP生成 token,可以使用以下代码: ```php $token = bin2hex(random_bytes(32)); ``` 这里使用了 `random_bytes()` 函数生成一个 32 字节的随机二进制字符串,然后使用 `bin2hex()` 函数将二进制字符串转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值