php token验证教程

1、作用

身份令牌的作用是保护用户的用户名及密码多次提交，以防密码泄露。

2、生成原理

1、用户提交“用户名”和“密码”，实现登录（条件允许，这一步最好走https）；

2、登录成功后，服务端随机生成一串带过期时限的token字符串,比如我们简称为user_token

3、验证原理

用户在登录以后，客户端使用登录后返回的 user_token每次请求服务端时，服务端的验证步骤为

1、查询数据库看user_token是否存在，

2、不存在返回错误

3、存在的话更新user_token的过期时间

下图是使用mysql建立的一个示例表

1、作用

接口令牌的作用是保持接口访问的隐蔽性和有效性，保证接口只能给自家人用。

2、生成原理

现在的接口基本是mvc模式，URL基本是restful风格，URL大体格式如下

http(s)://www.xxx.com/路由名称?参数=值1&参数2=值2&_t=时间戳

一般的生成原理是

1.系统中自定义一串随机字符串为加密秘钥，比如：12345abcd

2.参数按字典排序：比如PHP是使用ksort()之类的函数按数组键大小排序

3.根据自己的加密规则生成接口令牌，比如:小编这里随便编一个

api_token = md5(md5('路由名称'+'参数值1'+'参数值2'+'时间戳')+加密秘钥);\

以下是一个简单的PHP示例

3、验证原理：

1.客户端提交请求的时候带上参数（api_token）

2.在服务端，根据路由名称，参数，时间戳，用同样的方法生成接口令牌，

3.对比api_token和生成的token是否一致

1、作用

表单令牌一般用于防止表单重复提交、anti csrf攻击（跨站点请求伪造）

2、验证原理

1.当客户端GET请求页面时，服务器会生成一个随机数Token，并且将Token放置到session当中

2.将Token发使用 POST，PUT/PATCH，DELETE 给客户端（一般通过构造hidden表单）

3.下次客户端提交请求时，Token会随着表单一起提交到服务器端。

4.判断提交上来的token是否和session中的Token值相等，若相等，则可以证明请求有效，不是伪造的。

5.更新或删除session中的token