token身份校验的设计方式
我的一个思路:
- 用户登录的时候,输入username/password,post到后端
- 后端正常流程登录验证,验证成功,生成token和expire_time并存储到数据库,并返回信息告诉前端登录成功
- 前端收到登录成功的信息后,将后端返回的用户信息存储起来,并按照后端生成token的规则,自己生成一个token信息并保存本地
- 当前端再次请求后端数据的时候,在header里面带上token
- 后端每次收到前端请求的时候验证该token是否存在,并验证token的有效期
疑点一:该思路是否需要改进?
疑点二:前端生成的token发送服务器的时候,是否会被劫持?有什么方案可解决?
疑点三:使用php如何优雅的获取header里面的token?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(6)
有两点觉得好像不对
1.后端并不需要存储token和expire_time到数据库!因为需要权限的操作,前端都会传递token过来,只需验证是否有效,并解析就可以得到用户相关信息;
2.后端已经生成好了token并成功返回前端,前端只需保存就行!在适当的时候带着发送给后端就行!前端为啥还要自己生成token?
3.token被劫持的问题,需要通信过程加密,使用https就行。
token 是后端给的, 前端不知道生成规则
没什么问题,传参中可以加一个时间戳
可以看看JWT认证
Bearer Token
添加头部: Authorization: Bearer 0b79bab50daca910b000d4f1a2b675d604257e42
然后读头部信息
感觉项目前后端都没把事情想清楚 .
前端为什么要自己来生成token, 你把生成规则告诉别人了那不分分钟给你伪造一个出来啊 , token还有什么意义呢?
整个过程中应该是这样的
1.username+password拿到token
2.后续操作你跟服务端都是通过token来交互的.比如拿用户信息.
防止中间人目前最有效的方式是采用https通信.
最后建议楼主看看session和cookie的概念.