关于PHP,JS和Token

关于PHP,JS和Token

1,用户登录生成一个唯一值token存入redis数据库(token的生成:可以使用 random_int(), random_bytes(), or openssl_random_pseudo_bytes()函数生成一个随机数加上该用户的ip。如果你希望更安全一点,还可以进行一些变换,具体怎么做你可以看看密码学方面的书籍。);
2,所有网络请求必须使用https,否则token很容易被窃取。(web程序不能保护token,因为web网页的算法会写在js里面,js文件可以被浏览,所以别人浏览js文件就知道了你的算法,即使js被混淆也还是不安全,安卓和ios程序如果被破解算法也会被别人知道,所以最好的方案还是使用https);
3,token必须设置过期时间,这个时间随意,并没有特别的限制,可以让产品人员设定。如果没有人来定,可以使用15分钟;
4,如果需要用户登录才能访问的内容每次请求都必须带上token,并且要进行token验证。(这也是为什么使用redis而不是mysql存储token的原因,提高请求速度);默认php使用文件存储session,每次都要读取文件,其实也会有性能损失,并不一定比读数据库性能会好。所以你不需要担心读数据库导致的性能问题。
5,如果是web网页程序,一般登录后可以把token存储在cookie里面, 同时设置HTTP-Only(表示该cookie值不能被js读取)

你的流程看着我不是很明白。给你一个思路,token的作用在于这是一个不能篡改的字串,篡改后即无效,前端的任何数据都是可以非法篡改的。1:用户登陆后PHP读取用户的token并输出到页面,token一般有用户标识token和用户身份token,当然用一个也可以看你后端token的检验算法。2:前端和后端数据交互时,将数据和token传入后端,token起到用户身份及标识的作用。前端不应该将用户名和密码传入后端。token若发生篡改则检验失败。3:token的生成跟用户信息并不需要有任何关联,token由认意位数的仁意字符串组成,存进数据库中,token的生命周期看你需求,一般生成一次永久使用即可,数据库中的user表中增加token字段用于存储token,或者建立一张表,将user_ID和token关联。

  • Protractor模拟HTML5 拖拽投放功能不成功
  • js的运动问题,和视频说的不一样
  • js怎么用正则表达获取圆括号中的内容?
  • 有什么测app latency的第三方服务么?
  • Lumen开启StartSession中间件后,报错:Response需要为Object,但是得到的是String
  • 为什么函数里面不用var声明变量
  • vue工程,在Linux环境构建OK,在Windows环境构建报错
  • webstorm运行javascript时报错:Program path not specified
  • jsp重复的js、css文件怎么处理加载
  • paypal 多个商品如何串接金流
  • 错误日志管理