PHP无状态对象,(PHP)基于Token的身份验证中对无状态的理解

最新推荐文章于 2021-03-29 04:20:41 发布
最新推荐文章于 2021-03-29 04:20:41 发布
阅读量98 收藏
点赞数
文章标签: PHP无状态对象

假设我们设计的Token储存的信息为:

用户名.发行时间.过期时间.签名

在用户登录成功后,我们获取到用户的用户名、此时的时间戳,并将它们和我们设置的过期时间拼接在一起,组成一个字符串,假设为:

$info = 'foo.1497279169.1497379180';

然后我们根据以上信息信息生成签名(这里我们假设密钥为‘mystar’):

$signature = hash_hmac('md5',$info,'mystar');

最后我们将这两部分拼接起来,得到最终的Token字符串:

$token = $info.'.'.$signature;

此时得到的字符串为:

foo.1497279169.1497379180.8fd81e6e607d9228a6ef61e83b65e940

当用户登陆成功时,我们将此字符串储存到cookie中,那么在用户登录后,每次向服务器发送请求都会带着这个Token字符串,服务器在拿到字符串后,利用explode()函数将字符串的前三部分(即信息部分)取出,使用同样的方法拼接成一个字符串,并用hash_hmac()函数,再次对其进行加密,用加密后的字符串和签名部分做比较,如果相等,那么证明这个cookie没有被修改过,那么就成功验证了用户的合法身份。

$arr = explode('.',$_COOKIE['token']);

$info = $arr[0].'.'.$arr[1].'.'.$arr[2];

$true_signature = hash_hmac('md5',$info,'mystar');

if ($true_signature == $arr[3]){

//验证成功

}

else{

//验证失败,数据被非法修改

}

在整个验证的过程中,不需要在session或是数据库中储存任何的信息,Token本身携带了足够的信息,只需要在客户端的cookie或本地介质存储状态信息,然后用服务端的代码进行验证即可,所以说是基于Token的身份验证是无状态的。

最后,这只是最简单的思路,实际应用中$info中可以储存更多的信息,且一般需要用Base64进行编码后再进行拼接和加密(JWT)。

音乐先声
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php token获取用户信息,Laravel JWT 通过token获取用户信息
weixin_42186579的博客
03-20 3200
[官方文档 ](https://github.com/tymondesigns/jwt-auth/wiki/Authentication)1.控制器```use Tymon\JWTAuth\Exceptions\TokenExpiredException;use Tymon\JWTAuth\Facades\JWTAuth;public function getAuthenticatedUser()...
PHP如何token验证,手把手教学
weixin_41733299的博客
07-09 3889
讲解如何php获取前端的token
PHP 实现基于用户 token 验证的防异处登录
相逢不晚的博客
01-07 2187
1、使用场景 某些业务场景需限定一个账号只能同时在一个设备登录。 防异处登录多用于 APP ,需配合 API 接口使用。 基于 API 接口实现,在实际线上生产环境,API 接口是需要做验证的,即不是随便被请求就可以拿到数据的。需要对包括但不限于对用户登录成功返回的标识、token等的验证。 2、实现思路 用户注册完成后每次登录时,随机生成一个随机码 再把用户账号+密码+随机码按照一定顺序和...
php使用jwt如何拿到用户id,PHP 使用 jwt 方式用户身份认证(示例代码)
weixin_30364031的博客
03-29 516
/***CreatedbyPhpStorm.*User:Heze*Date:2020/11/24*Time:18:12*/namespacemytools;classJwtToken{//头部privatestatic$header=array('alg'=>'HS256',//生成signature的算法'typ'=>'JWT'//类型);//使用H...
[PHP]ThinkPhp5 实现token登陆
chengjianghao的博客
03-08 1万+
1: 首先在数据库的 users 表添加两个字段 1): token 2): time_out token 用于存储用户的 token time_out 用于设置用户 token 的过期时间 首先创建函数: checkToekn($token) 函数用于检验 token 是否存在, 并且更新 token public function checkToken($token) ...
php token身份认证,thinkphp5框架API token身份验证功能示例
weixin_34665386的博客
03-10 504
本文实例讲述了thinkphp5框架API token身份验证功能。分享给大家供大家参考,具体如下:使用说明:登陆时生成token和刷新用的refresh_token,返回给客户端,客户端收到保存本地localStorage等,每次访问接口带上token,后端验证token存在并且一致后方可执行接下来的动作,假如不存在就返回token过期,客户端调用刷新接口传入token和refresh_toke...
token身份验证 前后端分离(PHP全栈)
Daisy_Journal的博客
12-19 909
项目场景 在这个前后端分离的时代,前后端身份验证经常会成为自学者不可绕开的问题之一。这个问题也一直困扰了我很久,网上查阅到的资料都点到为止十分的尴尬,可能大佬们都一点及通,本人想了很久才结合到了demo。 demo思路: token使用的是JWT,相关说明百度很多我就不复制过来了 环境: 前端: html5, js,jq 后端: php 数据库: Mysql 表结构: 最后丢上代码 前端: login.html <!DOCTYPE html> <html lang="en"&g
laravel-token-auth:允许在 Laravel 使用 API 令牌作为无状态身份验证的一种形式
07-02
允许在 Laravel 使用 API 令牌作为无状态身份验证的一种形式。 这个包被设计为不依赖任何特定的令牌或令牌黑名单实现,但是默认情况下包用于提供基于 JWT 的令牌实现,而antarctica/laravel-token-blacklist包...
thinkphp5框架API token身份验证功能示例
01-02
本文实例讲述了thinkphp5框架API token身份验证功能。分享给大家供大家参考,具体如下: 使用说明:登陆时生成token和刷新用的refresh_token,返回给客户端,客户端收到保存本地localStorage等,每次访问接口带上...
php token使用与验证示例【测试可用】 原创
12-19
- API安全:在API请求使用Token进行身份验证和授权。 总之,PHPToken验证是提高Web应用安全性的重要手段,合理地使用和验证Token可以有效地防止非法数据提交,保护用户数据的安全。在实际项目,开发者应该...
php实现JWT(json web token)鉴权实例详解
01-03
基于token身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
php实现token验证,PHP如何实现Token验证
weixin_36298146的博客
03-10 3246
PHP如何实现Token验证首先将Token进行解析;然后根据解析出来的信息部分验证是否过期,如果未过期再将解析出的信息部分进行加密;最后将加密出来的数据和解析出来签名进行比对,如果相同则验证成功。示例代码:...
pho-framework:一个无状态PHP框架,用于建立以对象心的角色图模型
02-22
pho框架 Pho框架是Pho Stack的基础组件。 它建立了以Pho组件为基础的以对象心的actor / graph框架。 它是无状态的,这意味着它不会以任何方式提供其对象的持久性,但是它是通过水化器功能来实现这种可扩展性的。 安装 建议的安装pho-framework的方法是通过composer。 composer require phonetworks/pho-framework 请注意,pho-framework适用于PHP 7.2+ 文献资料 有关pho-lib-graph内部的更多信息以及简单的用户指南,请参阅文件夹。 您也可以使用phpdoc生成API,如 常问问题 有没有一种方法可以将图形保存在文件或磁盘上? Pho-Framework没有内置的服务器或机制来保存/存储/替换图形。 它完全建立在内存。 但是您可以使用来实现这种持久性,以及更多(访问控制列表等)
PHP)基于Token身份验证对无状态理解
Somethings
06-12 1922
假设我们设计的Token储存的信息为:            用户名.发行时间.过期时间.签名 在用户登录成功后,我们获取到用户的用户名、此时的时间戳,并将它们和我们设置的过期事件拼接在一起,组成一个字符串,假设为: $info = 'foo.1497279169.1497379180'; 然后我们根据以上信息信息生成签名(这里我们假设密钥为‘mystar’) $signa
php 如何实现无状态化,服务无状态化设计分析
weixin_31534091的博客
03-27 283
什么是无状态化设计?服务的无状态化就是冗余部署的多个服务模块(进程),使其完全对等。也就是部署多个相同服务,请求到任一服务的处理结果是一样的。这些模块不存储业务的上下文信息,比如session、登录、业务上下文相关的信息。只会根据每次请求携带的数据进行相应的业务处理。实质这些业务相关的信息是会存放在统一的一个地方,比如缓存、es等等。目的1.快速扩容2.弹性扩容具体案例实践用户Session数据登...
Session
lzz405791584的博客
01-20 122
1.为什么要用session(无状态应用) HTTP协议是无状态协议。    无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。    客户端与服务器进行动态交互的Web应用程序出现之后,HTTP无状态的特性严重阻碍了这些应用程序的实现,毕竟交互是需要承前启后...
php如何实现无状态,HTTP优缺点有哪些?
weixin_29547309的博客
03-25 241
HTTP优点有简单,灵活,易于扩展,应用广泛,环境成熟,无状态;HTTP缺点有明文不安全,因为无状态,因此无法做连续多个步骤的操作,“请求 - 应答”模式则加剧了HTTP的性能问题。HTTP优缺点有:http的优缺点不是绝对的,在某些特定情况下显示出来的优缺点,有时优点可以是缺点,有时缺点可以是优点。http的特点:灵活可扩展:http非常灵活,在报文没有做过多的限制,只要按照其规则可以自己定义...
PHP设计模式(二十五)—空对象模式(Null Object Pattern)----(将对象设置为无状态对象)
大海技术博客
05-29 771
对象模式(Null Object Pattern):用一个空对象取代 NULL,减少对实例的检查。这样的空对象可以在数据不可用的时候提供默认的行为(一)为什么需要空对象模式解决在需要一个对象时返回一个null值,使其调用函数出错的情况(二)空对象模式UML图上图是Java的空对象模式UML图,网上很多PHP设计模式的代码实现都是照着上面这个UML图实际上PHP在空对象模式的实现上比Java更加简...
状态服务 VS 有状态服务
热门推荐
mysee1989的专栏
05-12 1万+
对服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依旧是指两个来自相同发起者的请求在服务器端是否具备上下文关系。如果是状态化请求,那么服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息。而对于无状态请求,服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的、并且可以被所有请求所使用的公共信息。         无状态的服务器程序,最著
支付宝身份验证php
最新发布
08-24
要进行支付宝身份验证,你可以使用支付宝开放平台提供的 SDK 来实现。以下是使用 PHP 进行支付宝身份验证的简单示例代码: ```php <?php // 引入 SDK 文件 require_once 'path/to/alipay-sdk-PHP/AopSdk.php'; // 初始化 AopClient $aop = new AopClient(); $aop->gatewayUrl = 'https://openapi.alipay.com/gateway.do'; $aop->appId = 'YOUR_APP_ID'; $aop->rsaPrivateKey = 'YOUR_RSA_PRIVATE_KEY'; $aop->format = 'json'; $aop->charset = 'UTF-8'; $aop->signType = 'RSA2'; $aop->alipayrsaPublicKey = 'ALIPAY_RSA_PUBLIC_KEY'; // 构造请求参数 $request = new AlipaySystemOauthTokenRequest(); $request->setGrantType("authorization_code"); $request->setCode("YOUR_AUTHORIZATION_CODE"); // 发起请求 $response = $aop->execute($request); // 处理返回结果 if ($response && $response->code == "10000") { // 身份验证成功,处理业务逻辑 $accessToken = $response->access_token; $userId = $response->user_id; // 其他操作... } else { // 身份验证失败,处理错误信息 echo "身份验证失败:" . $response->msg; } ?> ``` 以上代码,你需要将 `YOUR_APP_ID`、`YOUR_RSA_PRIVATE_KEY`、`ALIPAY_RSA_PUBLIC_KEY` 和 `YOUR_AUTHORIZATION_CODE` 替换为你自己的相关值。 请注意,这只是一个基本示例,实际应用可能需要根据具体的业务需求进行修改和完善。你还需要在支付宝开放平台注册应用并获取相应的密钥和权限。 此外,为了保护你的隐私和安全,建议将敏感信息(如密钥)存储在安全的地方,而不是直接写在代码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值