溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關token PHP使用方法是怎樣的,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。
PHP中token的使用方法:1、客戶端用戶輸入用戶名密碼后執行登錄,請求token;2、使用JWT這種規范,進行生成token;3、驗證token的時效性;4、客戶端拿token請求數據。
本文操作環境:windows7系統、PHP7.1版、Dell G3電腦。
token PHP使用方法是什么?
php token的生成和使用
前后端分離或者為了支持多個web應用,那么原來的cookies或者session在使用上就會有很大的問題
cookie和session認證需要在同一主域名下才可以進行認證(目前可以把session存儲在redis內進行解決)。
oauth3 和 jwt
jwt :是一種安全標準。基本思路就是用戶提供用戶名和密碼給認證服務器,服務器驗證用戶提交信息信息的合法性;如果驗證成功,會產生并返回一個token(令牌)
OAuth3 :是一個安全的授權框架。它詳細描述了系統中不同角色、用戶、服務前端應用(比如API),以及客戶端(比如網站或移動APP)之間怎么實現相互認證。
(這里采用jwt,這種JSON Web Token 這種方式進行認證)
頭部:加密類型
說明:消息內容
key:一個隨機碼用來加密
上面三部分使用.連接起來,然后使用hs256進行加密,生成tokent
1). 頭部通常由兩部分組成:令牌的類型(即JWT)和所使用的加密算法(如:SHA256或者RSA)
{
"alg": "HS256",
"typ": "JWT"
}然后,這個json被Base64Url編碼,成為第一部分
2). 有效載荷是聲明。聲明是關于實體的部分。
{
"exp": "1525785339",
"sub": "1234567890",
"name": "John Doe",
"admin": true
}然后將有效載荷Base64Url進行編碼,成為第二部分
(PS:此信息盡管受到篡改保護,但是任何人都可以閱讀。除非加密,否則不要將重要信息放在里面)
3). 使用一個加密key
4). 簽名,需要使用編碼后的第一部分,編碼后的第二部分,然后一個關鍵的key。采用第一部分里的加密算法進行簽名
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), key )
該簽名用于驗證消息是否有篡改。
(PHP使用crypt方法進行加密。注意:SHA-256用于防篡改,AES-256用于加密兩個概念不一樣)
通常應該在請求的header頭中的 Authorization字段使用 Bearer模式添加JWT(Authorization: Bearer ) (當然你也可以放在任意位置,如URL后面當成一個參數傳遞,只要客戶端能識別就行,不過既然JWT是個規范,那么我們最好還是按照規范來)
undefined
客戶端用戶輸入用戶名密碼后執行登錄,請求token
服務器收到請求后,使用JWT這種規范,進行生成token,返回給客戶端
客戶端收到token以后,解密后,驗證token的時效性(token的過期時間),保存起來
客戶端拿token請求數據
服務器收到token解密后,驗證用戶身份,驗證時效性,然后驗證用戶
1. 無法作廢已頒布的令牌(對token刷新使用期限) 2. 不易應對過期數據(支持 token 失效)
所以如果你使用了 token ,那么如果 token 被捕獲到,那么就可以進行偽造進行冒充。所以如果安全比較高的話,還是建議使用oauth3
看完上述內容,你們對token PHP使用方法是怎樣的有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
