使用Token来做身份认证在目前的移动客户端上非常流行,Token这个概念来源于OAuth认证,主要是在服务端实现。关于相关的原理,同学们自行百度。在这里,我简单介绍一下我是怎么具体实现的,重点描述token生成、token识别及token缓存。

生成Token

服务端接收客户端传递的username和password等请求,在数据库中检查,如果用户名密码匹配的话,表示登录成功,服务端生成并返回一个token访问令牌。

    public function login()

    {

        $data = array_merge($this->request->post(), []);

        // login with password

        $user = Db::name($this->table)->field($this->field_except, true)->where('name', $data['name'])->find();

        if ($user) {

            if ($user['pwd'] === EncryptService::password($data['pwd'])) {

                $this->onLoginSuccess($user);

            } else {

                parent::logic_failure('密码不正确', 'user_wrong_pwd');

            }

        } else {

            parent::logic_failure('用户不存在', 'user_not_exists');

        }

    }

    private function onLoginSuccess($user)

    {

        unset($user['pwd']);

        $token = Token::generateToken($this->request, $user);

        $ret = [

            'token' => $token['token'],

            'user' => $user

        ];

        $this->logic_success(null, $ret);

    }

在上面的代码中,登录成功,服务端向客户端返回token和user信息。token是通过Token类的静态方法generateToken来生成的。

    public static function generateToken($request, $user)

    {

        // 1,生成包含用户及设备信息的新token

        $data = [

            'uuid' => $request->param('uuid', ''),

            'uid' => $user['id'],

            'ip' => $request->ip(),

            'client' => $request->param('client', ''),

            'update_time' => ApiBase::_timestamp(),

        ];

        // json序列化

        $json = json_encode($data);

        // 加密token信息

        $key = md5(EncryptService::encrypt($json));

        $data['token'] = $key;

        // 2,从数据库查询用户的token,决定是update还是insert

        $token = Token::get($user['id']);

        // 如果数据库中已存在token,更新

        if ($token) {

            // 删除旧的缓存

            cache($token['token'], null);

            // 执行更新

            $token->isUpdate(true)->save($data);

        }

        // 不存在,插入

        else {

            $token = new Token();

            $data['create_time'] = ApiBase::_timestamp();

            $token->data($data)->save();

        }

        // 3,将token写入缓存

        Token::cacheToken($token->getData());

        return $token->getData();

    }

这里主要有3个步骤

  1. 根据用户及设备等信息生成一个唯一的token,uid用于识别用户,uuid用于识别设备,time用于保证唯一。将这些信息序列化后加密并生成md5
  2. 根据用户id查询用户登录表,不管用户原来是否已经存在token,新的token将替换旧的token
  3. 将token写入缓存,因为token是每个请求都会解析,如果不使用缓存的话,会导致数据库访问瓶颈。

客户端应该保存token,然后在访问一些需要身份认证的API,比如修改昵称,就需要带上这个token了,而不需要显示带上用户信息,比如user_id。

解析token

服务端接收客户端传递的token,需要从中解析出相关的用户及设备信息。

    public static function getToken($key)

    {

        if (!isset($key)) {

            return null;

        }

        $token = cache($key);

        if ($token) {

            return $token;

        }

        else {

            return Token::findByToken($key);

        }

    }

过程很简单,先从缓存中取,如果不存在再从数据库中查询。所有的请求,服务端都会执行解析token。

验证token

服务端简单地把API分为三类

  1. 公共API,客户端可以任意访问,不需要验证身份,此类API多以GET请求为多。比如查询产品列表
  2. 受保护的API,也即需要强制认证的API,这类API需要验证客户端身份才能访问,比如修改头像,客户端未传token或token无效,服务端返回一个错误码。
  3. 可选认证的API,介于1和2之间,不要求强制验证客户端身份,比如分享奖励,如果客户端传递了token并认证通过了,则给相应的奖励,否则不做任何的奖励。

基于上面的分析,验证token附带一个是否强制验证的参数,用于中断。验证的规则也相对简单,只要用户请求的设备ID与token中的设备ID相同就算验证通过了。

    public function checkToken($exit = true)

    {

        if ($this->token) {

            if ($this->token['uuid'] === $this->request->param('uuid', '')) {

                return true;

            } else {

                if ($exit) {

                    $this->logic_failure(null, 'user_offline');

                } else {

                    $this->token = null;

                }

                return false;

            }

        } else {

            if ($exit) {

                $this->logic_failure(null, 'token_invalid');

            }

            return false;

        }

    }

缓存

缓存相对简单,缓存的key为加密token之后的md5值,也即登录成功后,服务端向客户端发送的token值。缓存未设置有效期,默认永不过期。

    public static function cacheToken($token)

    {

        if ($token) {

            if (is_object($token)) {

                $token = $token->getData();

            }

            cache($token['token'], ($token));

        }

    }

?>

进阶

为了让您的应该更加安全,还可以在以下方面强化

  1. token有效期
  2. token缓存加密
  3. token高级校验

不过,我这里已经对token做了对称加密,相信他人伪造token的可能性也不大。

作者:Jamling
链接:https://www.jianshu.com/p/8a75d727e252
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

我是怎么做App token认证的的更多相关文章

  1. 我是这样做APP的:击中用户的痛点(转)

    击中用户的痛点 点评,感觉取名叫做“用户痛点的取舍”更加合适.很多公司.项目的失败完全取决于决策人取舍的失败,一味地追求大而全.迎合上级领导,专断而没有和团队做客观的分析.本文虽然以一个应该来说并不复 ...

  2. 基于Token认证的多点登录和WebApi保护

    在文章中有错误的地方,或是有建议或意见的地方,请大家多多指正,邮箱: linjie.rd@gmail.com 一天张三,李四,王五,赵六去动物园,张三没买票,李四制作了个假票,王五买了票,赵六要直接F ...

  3. laravel5.7 前后端分离开发 实现基于API请求的token认证

    最近在学习前后端分离开发,发现 在laravel中实现前后台分离是无法无法使用 CSRF Token 认证的.因为 web 请求的用户认证是通过Session和客户端Cookie的实现的,而前后端分离 ...

  4. Token认证登录以及权限控制

    IdentityServer4实现Token认证登录以及权限控制   相关知识点 不再对IdentityServer4做相关介绍,博客园上已经有人出了相关的系列文章,不了解的可以看一下: 蟋蟀大神的: ...

  5. 【翻译】asp.net core2.0中的token认证

    原文地址:https://developer.okta.com/blog/2018/03/23/token-authentication-aspnetcore-complete-guide token ...

  6. flask token认证

    在前后端分离的项目中,我们现在多半会使用token认证机制实现登录权限验证. token通常会给一个过期时间,这样即使token泄露了,危害期也只是在有效时间内,超过这个有效时间,token过期了,就 ...

  7. python 全栈开发,Day97(Token 认证的来龙去脉,DRF认证,DRF权限,DRF节流)

    昨日内容回顾 1. 五个葫芦娃和三行代码 APIView(views.View) 1. 封装了Django的request - request.query_params --> 取URL中的参数 ...

  8. PHP做APP接口时,如何保证接口的安全性??????????

    PHP做APP接口时,如何保证接口的安全性? 1.当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在sess ...

  9. 关于vue跨域名对接微信授权认证和APP授权认证

    这种情况一般也只会出现在前后端分离,跨域名授权的时候吧.耗费了一个前端+一个后台+一个网关,熬夜通宵了两天才整出来一套方法(你们见过凌晨6点的杭州吗,对,我下班的时候天黑了,到家天亮了....),和开 ...

随机推荐

  1. Altium Designer绘制mark点

    mark注:我之前是按照下面的文章去制作的,由于头一次制作没有经验,不是很成功 文章是正确的 只是我的一些配置出错了: 先看一下我们的板子: 关于错误mark点,主要是周边又一圈亮锡,, 原因大概是敷 ...

  2. BZOJ 2245 SDOI 2011 工作安排 费用流

    题目大意:有一些商品须要被制造.有一些员工.每个员工会做一些物品,然而这些员工做物品越多,他们的愤慨值越大,这满足一个分段函数.给出哪些员工能够做哪些东西,给出这些分段函数,求最小的愤慨值以满足须要被 ...

  3. 关于Android中设置闹钟的相对比较完善的解决方案

    我当时说承诺为大家写一个,一直没空,直到最近又有人跟我要,我决定抽时间写一个吧.确实设置闹钟是一个比较麻烦的东西.我在这里写的这个demo抽出来了封装了一个类库,大家直接调用其中的设置闹钟和取消闹钟的 ...

  4. Satisfying memory ordering requirements between partial reads and non-snoop accesses

    A method and apparatus for preserving memory ordering in a cache coherent link based interconnect in ...

  5. Android入门——Bitmap和BitmapFactory

    我们都知道一个App的成败,首先取决于是否具有优秀的UI,而除了交互功能之外还需要丰富的图片背景和动画去支撑.在开发中我们应用到的图片不仅仅包括.png..gif..9.png..jpg和各种Draw ...

  6. css3-10 如何使用滚动条

    css3-10 如何使用滚动条 一.总结 一句话总结:给设置了宽高的块标签使用,直接将overflow属性写到style里面即可. 1.滚动条的使用对象时谁? 一般是div,当div比较小(设置了宽高 ...

  7. Java 网络I/O模型

    网络I/O模型 人多了,就会有问题.web刚出现的时候,光顾的人很少.近年来网络应用规模逐渐扩大,应用的架构也需要随之改变.C10k的问题,让工程师们需要思考服务的性能与应用的并发能力. 网络应用需要 ...

  8. Spring boot(二) springboot + jsp

    官方不推荐JSP在Spring Boot中使用! 一.添加依赖 在pim.xml 里面添加以下 jsp依赖 <dependency> <groupId>org.springfr ...

  9. 安装Centos时“sda必须有一个GPT磁盘标签”

    http://jingyan.baidu.com/article/c45ad29c272326051753e2d1.html

  10. 数学分析告诉偶们什么(vamei)

    1]人生的痛苦在于追求错误的东西.所谓追求错误的东西,就是你在无限趋近于它的时候,才猛然发现,你和它是不连续的. 2]人和人就像数轴上的有理数点,彼此能够靠得非常近非常近,但你们之间始终存在隔阂. 3 ...