美文网首页PHP
接口通讯身份验证

接口通讯身份验证

作者: mashen | 来源:发表于2017-09-29 09:30 被阅读0次

    基于token的数据通讯验证
    当用户登录成功后后端生成唯一token值 并缓存到redis中 以用户id为键名token为值存储
    为了避免token泄露尽量不要直接传输token值给前端 而是通过token生成签名 之后通过签名做身份验证


    登录成功生成sign 并返回给前端

    # 生成sign
    
    // 你的密钥
    $key  = 'Key_6@3.*78_xYQ98';
    
    // 当前用户id
    $userId = 100;
    
    // 生成唯一 token
    $token = sha1(microtime().uniqid(true).mt_rand(10000000,99999999));
    
    // token存入redis ( 以userId为键名 以token为值 存一个键值对 )
    $redis->set('token_'.$userId);
    
    // 生成签名
    $sign = substr(sha1(sha1($key.$token.$userId)),6,30);
    
    // 返回用户id和签名作为之后请求接口时的凭证
    $info = array();
    $info['userId'] = $userId;
    $info['sign']   = $sign;
    
    echo json_encode($info);
    
    exit;
    

    前端接收sign后 将sign和id以http请求头方式发送给后端做身份验证

    <script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js"></script>
    <script>
    
        $(function(){
    
            $.ajax({
                url: '2.php',
                type: 'POST',
                dataType: 'JSON',
                async: false,
                data: {
                    uid: 100,
                    type: 1
                },
                // 设置http请求头信息
                beforeSend: function(request) {
    
                    // 将登录时返回的用户id和签名以http形式传给后端作为身份验证
                    request.setRequestHeader('userId',100);
                    request.setRequestHeader('sign',"skd5dkgk6j48fjdj");
    
                    // 时间戳为了防止数据被截获修改
                    request.setRequestHeader('time',1501234567);
                },
                success: function(data){
    
                },
                error: function(){
    
                }
            });
        })
    
    </script>
    

    后端验证sign信息

    # 身份验证
    
    // 如果是跨域请求加下面三句代码
    header('Access-Control-Allow-Origin:*');
    header('Access-Control-Allow-Methods:POST,GET');
    header('Access-Control-Allow-Headers:userId,sign,time');
    
    // 获取验证信息
    $userId = (int)$_SERVER['HTTP_USERID'];
    $sign   = $_SERVER['HTTP_SIGN'];
    $time   = (int)$_SERVER['HTTP_TIME'];
    
    // 验证请求是否超市 ( 如果请求时间和到达时间超过15秒则为超时 )
    if($time + 15 < time()){
    
        echo '请求超时';
        exit;
    }
    
    // redis中通过userId查询token信息
    $token = $redis->get('token_'.$userId);
    
    // 验证token
    if($token){
    
        // 你的密钥
        $key  = 'Key_6@3.*78_xYQ98';
    
        // 生成签名
        $serSign = substr(sha1(sha1($key.$token.$userId)),6,30);
    
        // 签名是否一致
        if($serSign !== $sign){
    
            echo '请重新登录';
            exit;
        }
    
    }else{
    
        echo '请重新登录';
        exit;
    }
    

    相关文章

      网友评论

        本文标题:接口通讯身份验证

        本文链接:https://www.haomeiwen.com/subject/zuibextx.html