基于token的数据通讯验证
当用户登录成功后后端生成唯一token值 并缓存到redis中 以用户id为键名token为值存储
为了避免token泄露尽量不要直接传输token值给前端 而是通过token生成签名 之后通过签名做身份验证
登录成功生成sign 并返回给前端
# 生成sign
// 你的密钥
$key = 'Key_6@3.*78_xYQ98';
// 当前用户id
$userId = 100;
// 生成唯一 token
$token = sha1(microtime().uniqid(true).mt_rand(10000000,99999999));
// token存入redis ( 以userId为键名 以token为值 存一个键值对 )
$redis->set('token_'.$userId);
// 生成签名
$sign = substr(sha1(sha1($key.$token.$userId)),6,30);
// 返回用户id和签名作为之后请求接口时的凭证
$info = array();
$info['userId'] = $userId;
$info['sign'] = $sign;
echo json_encode($info);
exit;
前端接收sign后 将sign和id以http请求头方式发送给后端做身份验证
<script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js"></script>
<script>
$(function(){
$.ajax({
url: '2.php',
type: 'POST',
dataType: 'JSON',
async: false,
data: {
uid: 100,
type: 1
},
// 设置http请求头信息
beforeSend: function(request) {
// 将登录时返回的用户id和签名以http形式传给后端作为身份验证
request.setRequestHeader('userId',100);
request.setRequestHeader('sign',"skd5dkgk6j48fjdj");
// 时间戳为了防止数据被截获修改
request.setRequestHeader('time',1501234567);
},
success: function(data){
},
error: function(){
}
});
})
</script>
后端验证sign信息
# 身份验证
// 如果是跨域请求加下面三句代码
header('Access-Control-Allow-Origin:*');
header('Access-Control-Allow-Methods:POST,GET');
header('Access-Control-Allow-Headers:userId,sign,time');
// 获取验证信息
$userId = (int)$_SERVER['HTTP_USERID'];
$sign = $_SERVER['HTTP_SIGN'];
$time = (int)$_SERVER['HTTP_TIME'];
// 验证请求是否超市 ( 如果请求时间和到达时间超过15秒则为超时 )
if($time + 15 < time()){
echo '请求超时';
exit;
}
// redis中通过userId查询token信息
$token = $redis->get('token_'.$userId);
// 验证token
if($token){
// 你的密钥
$key = 'Key_6@3.*78_xYQ98';
// 生成签名
$serSign = substr(sha1(sha1($key.$token.$userId)),6,30);
// 签名是否一致
if($serSign !== $sign){
echo '请重新登录';
exit;
}
}else{
echo '请重新登录';
exit;
}
