我是怎么做App token认证的
使用Token来做身份认证在目前的移动客户端上非常流行,Token这个概念来源于OAuth认证,主要是在服务端实现。关于相关的原理,同学们自行百度。在这里,我简单介绍一下我是怎么具体实现的,重点描述token生成、token识别及token缓存。
生成Token
服务端接收客户端传递的username和password等请求,在数据库中检查,如果用户名密码匹配的话,表示登录成功,服务端生成并返回一个token访问令牌。
public function login()
{
$data = array_merge($this->request->post(), []);
// login with password
$user = Db::name($this->table)->field($this->field_except, true)->where('name', $data['name'])->find();
if ($user) {
if ($user['pwd'] === EncryptService::password($data['pwd'])) {
$this->onLoginSuccess($user);
} else {
parent::logic_failure('密码不正确', 'user_wrong_pwd');
}
} else {
parent::logic_failure('用户不存在', 'user_not_exists');
}
}
private function onLoginSuccess($user)
{
unset($user['pwd']);
$token = Token::generateToken($this->request, $user);
$ret = [
'token' => $token['token'],
'user' => $user
];
$this->logic_success(null, $ret);
}
在上面的代码中,登录成功,服务端向客户端返回token和user信息。token是通过Token类的静态方法generateToken
来生成的。
public static function generateToken($request, $user)
{
// 1,生成包含用户及设备信息的新token
$data = [
'uuid' => $request->param('uuid', ''),
'uid' => $user['id'],
'ip' => $request->ip(),
'client' => $request->param('client', ''),
'update_time' => ApiBase::_timestamp(),
];
// json序列化
$json = json_encode($data);
// 加密token信息
$key = md5(EncryptService::encrypt($json));
$data['token'] = $key;
// 2,从数据库查询用户的token,决定是update还是insert
$token = Token::get($user['id']);
// 如果数据库中已存在token,更新
if ($token) {
// 删除旧的缓存
cache($token['token'], null);
// 执行更新
$token->isUpdate(true)->save($data);
}
// 不存在,插入
else {
$token = new Token();
$data['create_time'] = ApiBase::_timestamp();
$token->data($data)->save();
}
// 3,将token写入缓存
Token::cacheToken($token->getData());
return $token->getData();
}
这里主要有3个步骤
- 根据用户及设备等信息生成一个唯一的token,uid用于识别用户,uuid用于识别设备,time用于保证唯一。将这些信息序列化后加密并生成md5
- 根据用户id查询用户登录表,不管用户原来是否已经存在token,新的token将替换旧的token
- 将token写入缓存,因为token是每个请求都会解析,如果不使用缓存的话,会导致数据库访问瓶颈。
客户端应该保存token,然后在访问一些需要身份认证的API,比如修改昵称,就需要带上这个token了,而不需要显示带上用户信息,比如user_id。
解析token
服务端接收客户端传递的token,需要从中解析出相关的用户及设备信息。
public static function getToken($key)
{
if (!isset($key)) {
return null;
}
$token = cache($key);
if ($token) {
return $token;
}
else {
return Token::findByToken($key);
}
}
过程很简单,先从缓存中取,如果不存在再从数据库中查询。所有的请求,服务端都会执行解析token。
验证token
服务端简单地把API分为三类
- 公共API,客户端可以任意访问,不需要验证身份,此类API多以GET请求为多。比如查询产品列表
- 受保护的API,也即需要强制认证的API,这类API需要验证客户端身份才能访问,比如修改头像,客户端未传token或token无效,服务端返回一个错误码。
- 可选认证的API,介于1和2之间,不要求强制验证客户端身份,比如分享奖励,如果客户端传递了token并认证通过了,则给相应的奖励,否则不做任何的奖励。
基于上面的分析,验证token附带一个是否强制验证的参数,用于中断。验证的规则也相对简单,只要用户请求的设备ID与token中的设备ID相同就算验证通过了。
public function checkToken($exit = true)
{
if ($this->token) {
if ($this->token['uuid'] === $this->request->param('uuid', '')) {
return true;
} else {
if ($exit) {
$this->logic_failure(null, 'user_offline');
} else {
$this->token = null;
}
return false;
}
} else {
if ($exit) {
$this->logic_failure(null, 'token_invalid');
}
return false;
}
}
缓存
缓存相对简单,缓存的key为加密token之后的md5值,也即登录成功后,服务端向客户端发送的token值。缓存未设置有效期,默认永不过期。
public static function cacheToken($token)
{
if ($token) {
if (is_object($token)) {
$token = $token->getData();
}
cache($token['token'], ($token));
}
}
?>
进阶
为了让您的应该更加安全,还可以在以下方面强化
- token有效期
- token缓存加密
- token高级校验
不过,我这里已经对token做了对称加密,相信他人伪造token的可能性也不大。
作者:Jamling
链接:https://www.jianshu.com/p/8a75d727e252
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
我是怎么做App token认证的的更多相关文章
- 我是这样做APP的:击中用户的痛点(转)
击中用户的痛点 点评,感觉取名叫做“用户痛点的取舍”更加合适.很多公司.项目的失败完全取决于决策人取舍的失败,一味地追求大而全.迎合上级领导,专断而没有和团队做客观的分析.本文虽然以一个应该来说并不复 ...
- 基于Token认证的多点登录和WebApi保护
在文章中有错误的地方,或是有建议或意见的地方,请大家多多指正,邮箱: linjie.rd@gmail.com 一天张三,李四,王五,赵六去动物园,张三没买票,李四制作了个假票,王五买了票,赵六要直接F ...
- laravel5.7 前后端分离开发 实现基于API请求的token认证
最近在学习前后端分离开发,发现 在laravel中实现前后台分离是无法无法使用 CSRF Token 认证的.因为 web 请求的用户认证是通过Session和客户端Cookie的实现的,而前后端分离 ...
- Token认证登录以及权限控制
IdentityServer4实现Token认证登录以及权限控制 相关知识点 不再对IdentityServer4做相关介绍,博客园上已经有人出了相关的系列文章,不了解的可以看一下: 蟋蟀大神的: ...
- 【翻译】asp.net core2.0中的token认证
原文地址:https://developer.okta.com/blog/2018/03/23/token-authentication-aspnetcore-complete-guide token ...
- flask token认证
在前后端分离的项目中,我们现在多半会使用token认证机制实现登录权限验证. token通常会给一个过期时间,这样即使token泄露了,危害期也只是在有效时间内,超过这个有效时间,token过期了,就 ...
- python 全栈开发,Day97(Token 认证的来龙去脉,DRF认证,DRF权限,DRF节流)
昨日内容回顾 1. 五个葫芦娃和三行代码 APIView(views.View) 1. 封装了Django的request - request.query_params --> 取URL中的参数 ...
- PHP做APP接口时,如何保证接口的安全性??????????
PHP做APP接口时,如何保证接口的安全性? 1.当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在sess ...
- 关于vue跨域名对接微信授权认证和APP授权认证
这种情况一般也只会出现在前后端分离,跨域名授权的时候吧.耗费了一个前端+一个后台+一个网关,熬夜通宵了两天才整出来一套方法(你们见过凌晨6点的杭州吗,对,我下班的时候天黑了,到家天亮了....),和开 ...
随机推荐
- Microsoft Bot Framework 链接至微信公共号
如何将 Microsoft Bot Framework 链接至微信公共号 说到 Microsoft Bot Framework 其实微软发布了已经有一段时间了,有很多朋友可能还不太了解,微软Bot ...
- Virtualizing physical memory in a virtual machine system
A processor including a virtualization system of the processor with a memory virtualization support ...
- php实现兼容Unicode文字的字符串大写和小写转换strtolower()和strtoupper()
前言 网上流传着这么一个腾讯笔试题: PHP的strtolower()和strtoupper()函数在安装非中文系统的server下可能会导致将汉字转换为乱码,请写两个替代的函数实现兼容Unicode ...
- 【b702】字符串的展开
Time Limit: 1 second Memory Limit: 50 MB [问题描述] 在初赛普及组的"阅读程序写结果"的问题中,我们曾给出一个字符串展开的例子:如果在输入 ...
- [RxJS] Conclusion: when to use Subjects
As a conclusion to this course about RxJS subjects, let's review when and why should you use them. F ...
- Spring boot(一) 入门
本系列基于Eclipse 4.7 .JDK 8 一.下载STS (1)STS 注意自己的eclipse版本. 在 Update Site Archives 里面选择对应eclipse的版本下载. (2 ...
- 【44.10%】【codeforces 723B】Text Document Analysis
time limit per test1 second memory limit per test256 megabytes inputstandard input outputstandard ou ...
- Android 输入框弹出样式
在androidMainfest.xml文件里 在Activity中设置 [A]stateUnspecified:软键盘的状态并没有指定,系统将选择一个合适的状态或依赖于主题的设置 [B]stateU ...
- 在Android实现client授权
OAuth对你的数据和服务正在变成实际上的同意訪问协议在没有分享用户password. 实际上全部的有名公司像Twitter.Google,Yahoo或者LinkedIn已经实现了它.在全部流行的程序 ...
- alloc init初始化后对象依然还在父视图
self.TableView=[[UITableView alloc]init]; ........2个cell //下面但方法和addsubviews方法不一样 [self.view insertS ...