yii ajax令牌,使用令牌实现RESTful API身份验证(Yii/Yii2)

最新推荐文章于 2021-08-05 21:42:36 发布
最新推荐文章于 2021-08-05 21:42:36 发布
阅读量155 收藏
点赞数
文章标签: yii ajax令牌

lin..

55

有关处理安全接口的信息

集中一个解决方案,一次性提供所有好的(RESTful)auth东西,这可能是:

SSL(最重要的,否则"HTTP-AUTH"将SENCE少,每个人都可以读出你的请求头/身体人在这方面的中间人攻击)

oAuth(或更好的oAuth2!)

HTTP-AUTH

令牌(包括有限的生命周期,刷新,可能包括IP/DeviceUID检查逻辑 - >如果它是移动的!)

Salt生成密码

用于ID/ENV/CLIENT检查的自定义HTTP标头或者什么.

请求和响应的加密正文数据,以防止数据操作

提示:个人用户数据应该是永久加密的!

也许解决方案

您可以在上面看到有关安全接口的标准信息.为确保持久的安全性,您可以像下一部分一样尝试.我不确定你的AppSidePersitence.也许它的sqlLite或类似的东西.这就是为什么我没有指出基于代码的DB-Schema,就像我对Yii做的那样.您需要在Yii应用程序(后端)内部以及应用程序(客户端)内部存储/持久存储时间和令牌.

你的YiiDBModel

S740J.png

-- -----------------------------------------------------

-- Table `mydb`.`user`

-- -----------------------------------------------------

CREATE TABLE IF NOT EXISTS `mydb`.`user` (

`id` INT NOT NULL,

`username` VARCHAR(255) NOT NULL,

`password` VARCHAR(255) NOT NULL,

`lastLogin` DATETIME NULL,

`modified` DATETIME NULL,

`created` DATETIME NULL,

PRIMARY KEY (`id`))

ENGINE = InnoDB;

----------------------------------------------------

-- Table `mydb`.`authToken`

-- -----------------------------------------------------

CREATE TABLE IF NOT EXISTS `mydb`.`authToken` (

`id` INT NOT NULL,

`userId` INT NOT NULL,

`token` VARCHAR(255) NOT NULL,

`created` DATETIME NOT NULL,

PRIMARY KEY (`id`, `userId`),

INDEX `fk_authToken_user_idx` (`userId` ASC),

UNIQUE INDEX `token_UNIQUE` (`token` ASC),

CONSTRAINT `fk_authToken_user`

FOREIGN KEY (`userId`)

REFERENCES `mydb`.`user` (`id`)

ON DELETE NO ACTION

ON UPDATE NO ACTION)

ENGINE = InnoDB;

你的AppPersitenceModel

fwM2c.png

正确处理您的令牌并确保登录安全性

您在Yii-Application端生成的任何令牌都将在YiiApp-Database中以"created"-Datetime存储(请参阅表authToken).每个用户只有一个"令牌",它将在正确的"登录" - 请求后生成.这样,您无需在"登录"时检查令牌.由架构定义,"令牌"是独一无二的!我认为没有必要处理历史数据(过期的旧令牌).

一旦用户登录被Yii验证为"成功",您就会生成一个带有当前时间戳的新用户令牌,该用户令牌将存储在您的YiiApp-DB中.在你的YiiApp中你需要配置一个"过期时间",它将被添加到当前时间戳中,例如,如果你想使用"timestamps":当前时间戳是:1408109484你的过期时间设置为3600(3600秒) = 1小时).所以......你的过期日期时间将通过API发送(1408109484+3600).顺便说一句.提示:您不需要发送类似的属性"code": 200.响应代码包含在您的请求/响应标头数据中.

**200 OK响应 - 例如,在用户登录成功后,保持计算的"过期"日期:**

{

"error": null,

"content": {

"expires": 1408109484,

"token": "633uq4t0qdtd1mdllnv2h1vs32"

}

}

重要提示:您希望保护的每个请求都需要与生成的用户"令牌"一起发送.哪个可能会存储在您的deviceStorage中.您可以处理"登录状态" - 如果您正确使用HTTP响应代码,则确实是RESTful ,例如,200 OK(如果一切正常)或401(未授权,用户未插入或会话已过期).您需要在Yii方面验证您的用户请求.从传入请求中读出令牌,由于数据库中给定的令牌验证它,并将"created"-DB与当前传入的Request-Time(HTTP-Requests)进行比较.

**请求 - 示例,任何安全请求的默认架构:**

{

"token": "633uq4t0qdtd1mdllnv2h1vs32"

"content": {

"someDataYouNeed" : null

}

}

**401未经授权的响应 - 示例,令牌已过期:**

{

"error": 1, // errorCode 1: token is expired

"content": {

"someDataYouNeed" : null

}

}

**401 Unauthorized Response-Example,用户未登录(YiiDB中不存在令牌):**

{

"error": 2, // errorCode 2: user is not logged in

"content": {

"someDataYouNeed" : null

}

}

保持用户会话活着?这很简单.只需将"创建"-Date更新authToken为当前请求时间.每次都这样做,用户发送了有效请求.这样,如果用户仍处于活动状态,会话将不会过期.在更新expiresDB中的-Date字段之前,请确保您的DB-Token未过期.如果在会话到期时没有发送请求,则不再可能保持活动状态.

对不起,但添加PHP代码太多了.

只有细节意味着你值得这样的感谢:-) (2认同)

回到这几个月后......我仍然喜欢Stackoverflow.:) (2认同)

夏骆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii2框架构建高性能restful接口
06-16
通过本系列课程的学习,达到可以用Yii2自主构建一套高效的、稳定的、高扩展性restful api的能力。并且,通过本课程学习,开发者可以充分的理解Yii2接口的灵活性,其中包括:按需取值,自由扩展,标准统一的接口开发意义,并享受一个强大开发框架带来得开发效率的提升。
php yii2 api框架,Yii2框架RESTful API 快速入门
weixin_39678493的博客
03-09 134
一、目录结构实现一个简单地RESTful API只需用到三个文件。目录如下:frontend├─config│└main.php├─controllers│└BookController.php└─models└Book.php二、配置URL规则1.修改服务器的rewrite规则,将所有URL全部指向index.php上,使其支持 /books/1 格式。如果是Apache...
Yii2实现RESTful API
buyue
12-06 522
复制yii2原项目的frontend目录,重命名成api, common/config/bootstrap.php <?php /** * 定义别名 */ Yii::setAlias('@common', dirname(__DIR__)); $_root = dirname(dirname(__DIR__)); //api Yii::setAlias('@api', $_root...
Ajax实现安全登录
weixin_30289831的博客
11-20 195
放暑假之前,在网上闲逛,不知怎么的就逛到了CoolCode.CN,看到了andot老师的文章《安全登录系统的设计与实现方案》,深受启发,决定将其进行实际应用。但是文章中仅仅指出了大致的流程,并没有描述具体操作方法。经过一下午+一晚上的摸索,终于将其实现。本文就将介绍我在实践过程中的一些感想和经验。 平时我们在非SSL加密连接的网站上递交登录表单都是使用明文提交密码,服务器收到客户端...
yii框架登录令牌
Summer--楠的博客
08-09 650
一、判断是否同时登录,同时登录则挤掉第一个用户 1、 在数据库创建一个token表,让其与用户表关联,token随机字符串 2、登录时将数据库里的token换掉,并取出新的token与用户信息一起存到session //调用登录接口地址 $url = "http://localhost/php10/port/public/check?username=".$use...
yii2项目实战之restful api授权验证详解
10-19
主要给大家介绍了关于yii2项目实战之restful api授权验证的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Yii2 RESTfulapi使用及开发实例详解
10-22
本文将深入探讨在Yii2中如何实现RESTful风格的API,并通过实例讲解如何创建和使用。 首先,RESTful风格的API是Representational State Transfer(表述性状态转移)架构设计原则的一种体现,它的核心思想是将资源以...
yii2的restful api路由实例详解
01-02
使用yii\rest\UrlRule来自动映射控制器的 restful 路由,简单快捷,缺点是必须得按规定好的方法名去写业务。 映射的规则如下,当然,你可以修改源码为你的习惯: public $patterns = [ 'PUT,PATCH {id}' => '...
yii2-rest-angular:Yii2框架(RESTful API)+前端AngularJS
06-21
Yii 2 基础应用模板 Yii 2 Basic Application Template 是一个骨架 Yii 2 应用程序,最适合快速创建小项目。 该模板包含基本功能,包括用户登录/注销和联系页面。 它包括所有常用配置,使您可以专注于向应用程序添加新功能。 目录结构 assets/ contains assets definition commands/ contains console commands (controllers) config/ contains application configurations controllers/ contains Web controller classes mail/ contains view files
使用Slim PHP Framework创建基于令牌RESTful服务
佛系软件
09-28 654
以下是基于令牌的安全RESTful API的文章。根据您的站点ID和IP地址生成的加密令牌随请求调用一起发送; 然后,此令牌将用于进行身份验证,以在您的应用程序中使用RESTful服务。请按照以下演示进行参考。   下载脚本     现场演示 本教程包含三个文件夹,名为restful,  js和css,  带有PHP文件。 restful - Slim // Slim Framework...
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 440
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
yii2 ajax登陆访问,yii2控制器Controller Ajax操作示例
weixin_42355013的博客
08-05 254
搜索热词本文实例讲述了yii2控制器Controller Ajax操作的方法。分享给大家供大家参考,具体如下:request->isAjax) {$data = Yii::$app->request->post();$searchname= explode(":",$data['searchname']);$searchby= explode(":",$data['searchb...
php ajax防止重复提交,解决表单令牌验证ajax无刷新多次提交暂不能满足问题
weixin_33238848的博客
04-14 265
解决表单令牌验证ajax无刷新多次提交暂不能满足问题作者:小涵 | 来源:互联网 | 2018-05-26 19:03阅读: 6783提供各种官方和用户发布的代码示例,代码参考,欢迎大家交流学习ajax请求,create进行了令牌验证并销毁了令牌session,再次ajax提交请求后,无法通过令牌验证,有两个解决办法:1,在Model.class.php核心类中,添加是否销毁令牌session的...
jwt配置 restful_使用JWT(JSON Web令牌)设置令牌到期的RESTful API
weixin_42593549的博客
01-14 264
没有任何东西可以使令牌永不过期 . 但是,您可以将到期日期延长到非常大的时间 Span ,例如1年 . 这是可能的,但不建议用于安全性 .为了实现这一点,您需要配置两个部分,即令牌刷新时间和令牌到期 .所以 config/jwt.php'refresh_ttl' => 29030400, // Number of minutes in 1 year (12*4*7*24*60*60)当您创...
Yii2.0 RESTful API 认证教程【令牌验证
willeny的博客
12-25 323
最近在做RESTful API认证功能,记录整个过程,方便以后查看。本文参照了 https://segmentfault.com/a/1190000016368603部分内容,感谢该作者的分享,以上内容根据我的项目实际情况进行了调整。 认证介绍 和Web应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,...
YII2框架表单-model(验证)-HTML_help部件 URL_help部件 以注册页面为实例
zhao_teng的博客
11-27 327
YII2框架中除了 controller和model十分重要之外,YII2框架中还提供了强大的视图部件以及强大的表单验证下面我们就以注册页面为实例来一探究竟!! 效果图: 1、首先我们要建立model层并且建立rules()方法 以及字段属性 我们看看model层中rules方法定义: Rules验证规则: required : 必须值验证属性||CRequiredValidat...
yii2实现token认证(源码分析)
KBellX的博客
05-11 6067
笔者在学习用yii2写restful api的token认证部分遇到困难,官网教程没看懂~,解决后,记录之。 yiiRESTful 授权认证 官方教程链接,大概意思如下: yii2提供了3种验证token方式,需要在具体控制器指定使用哪种(也可以都使用),这里以QueryParams方式为例,即通过$_GET参数方式接受token,代码如下: public function beh...
yii2框架-restful的请求参数token验证(二十三)
热门推荐
bingcool
08-06 1万+
最近出行市场发生一件大事:滴滴收购uber中国,两者正式联姻。对于这次的收购合并,其实对于滴滴和uber来说都是双赢的。两者在市场的竞争中已经烧了不少的钱,而且uber的股东也建议TK(uber创始人)和滴滴讲和,不能在这样子无尽烧钱,毕竟人家投资人是要挣钱的。滴滴目前可以说是已经是国内的出行市场的老大了,乐视投资的”易到“已经是基本边缘化的了。滴滴和uber的联姻都可以说明到过去的创业独角兽以前...
Yii 使用JWT
huaweichenai的博客
06-24 2922
了解JWT可以参考:了解JWT 一:下载JWT拓展 在JWT官网中我们可以看到很多php版本的JWT,选择一个JWT进行下载 这里我选择的是lcobucci/jwt,使用composer进行下载 lcobucci/jwt的composer地址:https://packagist.org/packages/lcobucci/jwt composer require lcobucci/...
Learning Yii Testing(PACKT,2015)
05-13
Yii 2 提供了多种测试优势,包括快速构建高速应用程序、验证应用程序的正确性、提高应用程序的稳定性等。Yii 2 的测试优势旨在帮助开发者快速构建高速、稳定的应用程序。 Yii 2 提供了一个功能强大且灵活的测试套件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值