[token] -- token的生成

最新推荐文章于 2024-04-29 08:58:50 发布
最新推荐文章于 2024-04-29 08:58:50 发布
阅读量2.2w 收藏 13
点赞数 2
分类专栏: RestFull API

--->非开放性平台

--->公司内部产品

 

接口特点汇总:

1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;

2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;

3、有点接口需要用户登录才能访问;

4、有点接口不需要用户登录就可访问;

 

针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。

第一个token是针对接口的(api_token);

第二个token是针对用户的(user_token);

 

先说第一个token(api_token)

 

它的职责是保持接口访问的隐蔽性和有效性,保证接口只能给自家人用,怎么做到?参考思路如下:

现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下:

http://blog.snsgou.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2&参数名3=参数值3

 

接口token生成规则参考如下:

api_token = md5 ('模块名' + '控制器名' + '方法名' + '2013-12-18' + '加密密钥') = 770fed4ca2aabd20ae9a5dd774711de2

其中的 

1、 '2013-12-18' 为当天时间,

2、'加密密钥' 为私有的加密密钥,手机端需要在服务端注册一个“接口使用者”账号后,系统会分配一个账号及密码,数据表设计参考如下:

字段名 字段类型 注释
client_id varchar(20) 客户端ID
client_secret varchar(20) 客户端(加密)密钥

(注:只列出了核心字段,其它的再扩展吧!!!)

 

服务端接口校验,PHP实现流程如下:

01 <?php
02 // 1、获取 GET参数 值
03 $module $_GET['mod'];
04 $controller $_GET['ctl']
05 $action $_GET['act'];
06 $client_id $_GET['client_id'];
07 $api_token $_GET[''api_token];
08  
09 // 2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret
10 $client_secret = getClientSecretById($client_id);
11  
12 // 3、服务端重新生成一份 api_token
13 $api_token_server = md5($module $controller $action .  date('Y-m-d', time()) .  $client_secret);
14  
15 // 4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败
16 if ($api_token != $api_token_server) {
17     exit('access deny');  // 拒绝访问
18 }
19  
20 // 5、验证通过,返回数据给客户端
21 //。。。
22 ?>

 

再说第二个token(user_token)

 

它的职责是保护用户的用户名及密码多次提交,以防密码泄露。

如果接口需要用户登录,其访问流程如下:

1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https);

2、登录成功后,服务端返回一个 user_token,生成规则参考如下:

服务端用数据表维护user_token的状态,表设计如下:

字段名 字段类型 注释
user_id int 用户ID
user_token varchar(36) 用户token
expire_time int 过期时间(Unix时间戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

服务端生成 user_token 后,返回给客户端(自己存储),客户端每次接口请求时,如果接口需要用户登录才能访问,则需要把 user_id 与 user_token 传回给服务端,服务端接受到这2个参数后,需要做以下几步:

1、检测 api_token的有效性;

2、删除过期的 user_token 表记录;

3、根据 user_id,user_token 获取表记录,如果表记录不存在,直接返回错误,如果记录存在,则进行下一步;

4、更新 user_token 的过期时间(延期,保证其有效期内连续操作不掉线);

5、返回接口数据;

 

接口用例如下:

 

1、发布日志

URL:  http://blog.snsgou.com/blog/Index/addBlog?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12

请求方式:  POST

POST参数:title=我是标题&content=我是内容

返回数据:

{
      'code' => 1, // 1:成功 0:失败
      'msg' => '操作成功' // 登录失败、无权访问
      'data' => []
}

不惧前行
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用Web Service远程调用传递Header的用法
SignBo-zhang
09-15 1135
Web Service 远程调用传递Header的用法
易语言-365 token生成
06-26
本源码只进行了JS扣取,JS处理   不涉及协yi 很早之前分析的 网站的JS是进行了混淆 分析难度还是很大的。 分析不易 希望手下留情。二次算法  非扣取 只调用了 精易模块
简单的token生成
最新发布
weixin_41925271的博客
04-29 58
【代码】简单的token生成
php登陆成功返回token教程,ThinkPhp5 实现token登陆的学习笔记分享
weixin_39756481的博客
03-11 753
前几天用thinkphp5做项目需要用到token登陆,在此整理了一下分享给大家,需要的可以研究研究。一、首先在数据库的 users 表中添加两个字段2、time_outtoken 【用于存储用户的 tokentime_out 用于设置用户 token 的过期时间首先创建函数: checkToekn($token)函数用于检验 token 是否存在, 并且更新 token】publicfunct...
token实现登录状态保持/身份认证的机制
热门推荐
FloraCat_染小白
12-19 2万+
实现登录状态保持与身份认证的方式通常有两种:session结合数据库、token。 两者相比较,token有较多优点。 ① token可以存储在任何位置(比如cookie或local storage) ② token更容易跨域 ③ token过期时可以通过刷新token,让用户一直保持有效登录 ④ 如果api在不同终端上,token更方便安全   二、token原理 其过程大致...
Token详解及安全验证
qq_53058639的博客
03-08 1588
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
token-creator
05-30
Token Creator 使用 、 、 、 、 和进行快速应用程序开发。 在Mainnet或Testnet中使用Tokedo Token Creator 安装 使用 HTTPS 克隆 repo 使用带有 Web URL 的 Git: git clone ...
rest-framework生成token
08-03
使用rest-framework在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以...
token-audit
03-20
代币审核从EtherScan(results.json)刮取前600个令牌的列表刮除每个令牌和合同源代码的信息(数据+合同)生成有趣数据的CSV(results.csv)取消index.js底部的注释行以生成数据
OneNET-token计算工具
09-22
OneNET-token计算工具 用于生成连接OneNET平台时的token值。便于大家下载使用
token-servlet使用案例.zip
06-06
- (1) 创建Token:当用户发起登录请求时,服务器生成一个唯一的Token,并将其与用户的登录信息关联,然后返回给客户端。 - (2) 存储Token:服务器可以将Token存储在数据库或者内存中,但因为这个案例提到“无需经过...
token登陆验证
qq_20786911的博客
03-07 1万+
登陆业务的实现 由于http是无状态的,那么应该如何记住登录状态呢? 单一应用的服务中常见做法是在客户端cookie中保存sessionId,服务器端的session中保存sessionid,每次客户端发送请求的时候都带上sessionid,在服务器端进行验证。 在分布式系统中,由于服务器之间不能共享内存,因此服务器之间session不能互通,因此不能使用session去存储用户的登录信息,一般使...
易语言实现服务器登录注册,易语言简单的登录注册实现源码
weixin_35559202的博客
08-02 5637
.版本2.支持库EThread.支持库spec.支持库iext.程序集窗口程序集_启动窗口.程序集变量server,HttpServer.程序集变量许可,整数型.子程序__启动窗口_创建完毕许可=创建进入许可证()启动线程(&子程序1,,).子程序子程序1.局部变量serverConfig,ServerConfig.局部变量loggerConfig,...
app接口设计之token的php实现
小熊猫的博客
07-09 833
app接口设计之token的php实现1、首先说一句什么是接口:接口简单来说就是服务器端用来返回给其他程序或者客户端数据的桥梁2、接口的作用:根据固定参数返回固定数据,比如客户端传a=1,那么服务器端返回a的姓名,客户端传a=2,服务器端返回a的性别,而不会返回其他数据。3、signature签名的作用:保证接口与数据的安全4、token的作用:和PC登陆的session一样,作为用户进入的唯一票...
PHP后端是如何实现JWT认证的
疯子源
05-24 474
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录
php 调用 java 接口
weixin_30394333的博客
03-03 619
php 需要开启 curl模块 /** HTTP 请求函数封装*/function http_request_cloudzone($url, $data){ //var_dump($url."test"); if(!$url){ return ""; } $ch = curl_init (); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALS...
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3944
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
fastadmin api 跨域、 403 问题
罗小文
07-26 490
1、Api基类中添加header信息 header("Access-Control-Allow-Methods: *"); if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS'){ // 浏览器页面ajax跨域请求会请求2次, // 第一次会发送OPTIONS预请求,不进行处理,直接exit返回, // 但因为下次发送真正的请求头部有带token, // 所以这里设置允许下次请求头带token否者下次请求无法成功 header('Ac
sa-token-quick-login怎么使用我数据库的用户跟密码登陆,我需要一个案例
05-27
使用 sa-token-quick-login 实现数据库用户登录的具体步骤如下: 1. 引入 sa-token 依赖 在 Maven 项目中,你需要在 pom.xml 文件中引入 sa-token 的依赖: ```xml <dependency> <groupId>cn.dev33.satoken</groupId> <artifactId>sa-token-starter-core</artifactId> <version>${sa-token.version}</version> </dependency> ``` 其中,${sa-token.version} 是 sa-token 的版本号。 2. 配置 sa-token 在 Spring Boot 项目中,你需要在 application.yml 或 application.properties 文件中配置 sa-token 的相关信息,例如: ```yaml # 配置 sa-token sa-token: # 开启 sa-token enable: true # 配置密码加密秘钥 pwdEncryptSalt: your_salt_here # 配置登录token 名称 tokenName: your_token_name_here ``` 3. 实现登录接口 在 Spring Boot 中,你可以使用 @PostMapping 注解实现登录接口,例如: ```java @RestController public class LoginController { @PostMapping("/login") public String login(String username, String password) { // 根据用户名和密码查询数据库,如果存在则返回用户信息,否则返回 null User user = userRepository.findByUsernameAndPassword(username, password); if (user == null) { // 用户名或密码错误,返回错误信息 return "用户名或密码错误"; } else { // 用户名和密码正确,生成 token 并返回 return SaTokenManager.createToken(user.getId()); } } } ``` 在这个例子中,我们使用 @PostMapping 注解定义了一个 /login 接口,接收用户名和密码作为参数。我们在接口中查询数据库,如果用户名和密码匹配,则生成 token 并返回;否则返回错误信息。 4. 配置 sa-token-quick-login 在 Spring Boot 中,你可以使用 @Configuration 注解实现 sa-token-quick-login 的配置,例如: ```java @Configuration public class SaTokenConfig { @Autowired private SaTokenProperties saTokenProperties; @Bean public SaTokenQuickLogin saTokenQuickLogin() { return new SaTokenQuickLogin() { @Override public Object doLogin(String loginKey) { // 在这里实现登录逻辑 String[] arr = loginKey.split(":"); String username = arr[0]; String password = arr[1]; // 根据用户名和密码查询数据库,如果存在则返回用户信息,否则返回 null User user = userRepository.findByUsernameAndPassword(username, password); if (user == null) { // 用户名或密码错误,返回 null return null; } else { // 用户名和密码正确,返回用户对象 return user; } } @Override public String getLoginKey(Object user) { // 在这里实现获取登录 key 的逻辑,例如:使用用户名和密码拼接 User u = (User) user; return u.getUsername() + ":" + u.getPassword(); } }; } } ``` 在这个例子中,我们使用 @Configuration 注解定义了一个 SaTokenConfig 类,实现了 SaTokenQuickLogin 接口。我们在 doLogin 方法中实现了数据库登录逻辑,如果登录成功,则返回用户对象;否则返回 null。在 getLoginKey 方法中,我们使用用户名和密码拼接作为登录 key。 5. 在前端页面中调用登录接口 在前端页面中,你可以使用 JavaScript 调用登录接口,例如: ```javascript fetch('/login', { method: 'POST', body: JSON.stringify({ username: 'myusername', password: 'mypassword' }), headers: { 'Content-Type': 'application/json' } }) .then(response => response.text()) .then(token => { // 登录成功,保存 token 到 localStorage 中 localStorage.setItem('token', token); }); ``` 在这个例子中,我们使用 fetch 函数发送 POST 请求到 /login 接口,传递用户名和密码。如果登录成功,后端将返回一个 token 字符串,我们在前端页面中使用 JavaScript 处理这个 token 字符串,保存到 localStorage 中,以便后续使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值