文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

php如何实现响应头增加token

2023-07-05 04:25

关注

这篇文章主要介绍“php如何实现响应头增加token”,在日常操作中,相信很多人在php如何实现响应头增加token问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”php如何实现响应头增加token”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

php实现响应头增加token的方法:1、在请求的header头中的Authorization字段使用Bearer模式添加JWT;2、在服务器收到请求后,使用JWT规范,进行生成token,返回给客户端即可。

php token的生成和使用

为什么要使用tokent进行登录

前后端分离或者为了支持多个web应用,那么原来的cookies或者session在使用上就会有很大的问题

cookie和session认证需要在同一主域名下才可以进行认证(目前可以把session存储在redis内进行解决)。

解决方案

oauth3 和 jwt

jwt :是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个token(令牌)

OAuth3 :是一个安全的授权框架。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动APP)之间怎么实现相互认证。

(这里采用jwt,这种JSON Web Token 这种方式进行认证)

生成方法

头部:加密类型

说明:消息内容

key:一个随机码用来加密

上面三部分使用.连接起来,然后使用hs256进行加密,生成tokent

详细生成方法

1). 头部通常由两部分组成:令牌的类型(即JWT)和所使用的加密算法(如:SHA256或者RSA)

{      "alg": "HS256",      "typ": "JWT"}

然后,这个json被Base64Url编码,成为第一部分

2). 有效载荷是声明。声明是关于实体的部分。

{      "exp": "1525785339",      "sub": "1234567890",      "name": "John Doe",      "admin": true}

然后将有效载荷Base64Url进行编码,成为第二部分

(PS:此信息尽管受到篡改保护,但是任何人都可以阅读。除非加密,否则不要将重要信息放在里面)

3). 使用一个加密key

4). 签名,需要使用编码后的第一部分,编码后的第二部分,然后一个关键的key。采用第一部分里的加密算法进行签名

HMACSHA256(          base64UrlEncode(header) + "." + base64UrlEncode(payload),          key)

该签名用于验证消息是否有篡改。

(PHP使用crypt方法进行加密。注意:SHA-256用于防篡改,AES-256用于加密两个概念不一样)

token存放位置

通常应该在请求的header头中的 Authorization字段使用 Bearer模式添加JWT(Authorization: Bearer ) (当然你也可以放在任意位置,如URL后面当成一个参数传递,只要客户端能识别就行,不过既然JWT是个规范,那么我们最好还是按照规范来)

使用方式

客户端用户输入用户名密码后执行登录,请求token

服务器收到请求后,使用JWT这种规范,进行生成token,返回给客户端

客户端收到token以后,解密后,验证token的时效性(token的过期时间),保存起来

客户端拿token请求数据

服务器收到token解密后,验证用户身份,验证时效性,然后验证用户

缺点

无法作废已颁布的令牌(对token刷新使用期限)

不易应对过期数据(支持 token 失效)

所以如果你使用了 token ,那么如果 token 被捕获到,那么就可以进行伪造进行冒充。所以如果安全比较高的话,还是建议使用oauth3。

到此,关于“php如何实现响应头增加token”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注编程网网站,小编会继续努力为大家带来更多实用的文章!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯