基于token的数据通讯验证
当用户登录成功后后端生成唯一token值 并缓存到redis中 以用户id为键名token为值存储
为了避免token泄露尽量不要直接传输token值给前端 而是通过token生成签名 之后通过签名做身份验证
登录成功生成sign 并返回给前端
# 生成sign // 你的密钥 $key = 'Key_6@3.*78_xYQ98'; // 当前用户id $userId = 100; // 生成唯一 token $token = sha1(microtime().uniqid(true).mt_rand(10000000,99999999)); // token存入redis ( 以userId为键名 以token为值 存一个键值对 ) $redis->set('token_'.$userId,$token); // 生成签名 $sign = substr(sha1(sha1($key.$token.$userId)),6,30); // 返回用户id和签名作为之后请求接口时的凭证 $info = array(); $info['userId'] = $userId; $info['sign'] = $sign; echo json_encode($info); exit;
前端接收sign后 将sign和id以http请求头方式发送给后端做身份验证
<script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js"></script> <script> $(function(){ $.ajax({ url: '2.php', type: 'POST', dataType: 'JSON', async: false, data: { uid: 100, type: 1 }, // 设置http请求头信息 beforeSend: function(request) { // 将登录时返回的用户id和签名以http形式传给后端作为身份验证 request.setRequestHeader('userId',100); request.setRequestHeader('sign',"skd5dkgk6j48fjdj"); // 时间戳为了防止数据被截获修改 request.setRequestHeader('time',1501234567); }, success: function(data){ }, error: function(){ } }); }) </script>
后端验证sign信息
# 身份验证 // 获取验证信息 $userId = (int)$_SERVER['HTTP_USERID']; $sign = $_SERVER['HTTP_SIGN']; $time = (int)$_SERVER['HTTP_TIME']; // 验证请求是否超市 ( 如果请求时间和到达时间超过15秒则为超时 ) if($time + 15 < time()){ echo '请求超时'; exit; } // redis中通过userId查询token信息 $token = $redis->get('token_'.$userId); // 验证token if($token){ // 你的密钥 $key = 'Key_6@3.*78_xYQ98'; // 生成签名 $serSign = substr(sha1(sha1($key.$token.$userId)),6,30); // 签名是否一致 if($serSign !== $sign){ echo '请重新登录'; exit; } }else{ echo '请重新登录'; exit; } 作者:mashen 链接:http://www.jianshu.com/p/5e1a8ac20ba2 來源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。