php用户鉴权,app开发之鉴权 PHP版

当我们在写接口的时候,一定会碰到接口安全相关。一般会有两种情况。不需要用户参与,比如客户端读取新闻列表、用户列表。

需要用户参与,比如修改用户的信息,评论新闻的内容等。

针对1的设计,可以在公共参数上下功夫,比如一般框架的请求都会有“controller”"action",

然后客户端和服务端再定义一个加密字符串,比如"!@#$%",然后进行字符串排序拼接,然后hash。(比如md5),客户端在发送请求的时候带上加密后的字符串。$token = md5($controller_name.$action_name."!@#$%"),

服务端收到请求后,获取当前的controller_name,和action_name和传过来的token,然后依照客户端加密方式,重新md5,然后进行对比.$controller_name = "user";

$action_name = "view";

$secure = "!@#$%";

$token = md5($controller_name.$action_name.$secure);

if($token != $_GET['token']){

exit("鉴权失败");

}

#做一些事情

针对2的设计,最好是在用户登录之后,登录时,可以获取到的信息有。用户名

明文密码

客户端将用户名和密码进行传输,并保存用户名到本地.

服务端获取参数后,生成token,例:$user_name = "jack";

$user = $this->getUserInfo($user_name); //应该会返回一个用户信息。

$md5_password = $user['md5_password'];//这里可能只是简单md5一下密码,也可能加盐($salt);

$secure_str = '!@#$%'; //固定,客户端和服务端约定的一个密码串

$token = md5($md5_password . $secure_str);

然后将token返回给客户端.

以后客户端传输数据时,只需要带上token和用户名即可.可以放在http的head头里。

每次传输给服务端,服务端都会去进行验证$user_name = $this->getParams['username']; //获取客户端提交的用户名

$token = $this->getParams['token'] ; //获取客户端提交的token

$user = $this->getUserInfo($user_name); //应该会返回一个用户信息。

$md5_password = $user['md5_password'];//这里可能只是简单md5一下密码,也可能加盐($salt);

$secure_str = '!@#$%'; //固定,客户端和服务端约定的一个密码串

if(md5($md5_password . $secure_str) != $token)

{

//则不匹配

}

其他的安全方式,比如网站使用HTTPS,防止中间人获取。定时刷新token,防止一个token可以永久使用。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值