api设计 - php 接口 token 数据加密 -PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

api设计 - php 接口 token 数据加密

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 06, 2016 pm 01:52 PM

API 디자인php

最近在用php写app的接口，有一些疑问

首先关于token(令牌)
token是用户登录的时候生成的
用户token在服务端保存入库客户端则缓存在本地大部分接口都要求客户端发送token 和服务端数据库中的token进行验证

每个用户唯一token 是由年月和客户端机器码标识用户id 组成的
(年月是做登录保存期限用的机器码是在持保证用户下次登录时，快捷识别登录来源，判断是否需要重新登录的重要凭证，用户id其实是顺便加的)

问题来了
=。= 这东西感觉做出来就和session没什么区别
**如果直接抓一下包
每个用户通一个平台的客户端的token都是一样的对于防攻击并没有什么用**
而且这种token是基于用户的所以用户的登录注册验证(防机器人)验证上这种token是帮不了忙的
=。=我还在再设计一个啥来验证 (有办法在这种token思路上把登录注册验证也做了吗)

回复内容：

最近在用php写app的接口，有一些疑问

此问题简单至极，以php举例。
但和session不一样，和cookies有点接近，设计这个是为了解决cookies传值麻烦的问题。

首先在登陆的过程中，用户向服务端提交数据应有
username、password、client_key
php在服务端拿到这些数据之后，用校验算法获取校验值，如md5。
(ps:不加密码是不行的，否则用户修改密码后之前的还是可以快捷登陆，这不坑人吗)
$salt是一个加密key，防止别人猜到加密算法。

$token=md5($username.$password.date('yyyy').date('mm').$client_key.$salt);

计算完成后将$token返回到客户端，作为存储。以后客户端只需要向服务端发送此$token和用户名。

当php收到这个$token就再做一次上面的运算，看是否一致即可快捷判断。

如果需要防止恶意注册和登陆，就需要在客户端对client_key进行加密，然后服务端解密做验证，然而这并没有什么卵用，一切客户端的代码都是不安全的，可以通过反编译，反混淆来分析，然后照样伪造。所以客户端的加密没有意义。
另外，服务器通过ip判断也是一个办法。
然而，从根源上来讲，防止恶意攻击就需要验证手机号才能注册，目前基本上通过此种方法实现。

我也在写，还没有实现

1.如果用户是通过token验证登陆的,在app上也就是类似cookie的东西,用户拿来登陆是没什么问题,如果是当用户换客户端登陆,则需要重新登陆,那在验证的时候再获取客户端机器码匹配一下.

另外客户端的token也可以做复杂,用js进行加密处理,在php获取再进行解析.

虽然token在一定程度上是不安全的，但是相比较，比传递用户密码来的安全。
使用token的场景一般是无状态无cookies的模式，如果有token充当cookies中的sessionID的作用。
token虽然不安全，但是由一定程度的验证模式，那么还是可以使其可信的

刚好前不久自己写了篇博客，虽然没有涉及到一些技术细节，但思路还是有的，看看对你有没有帮助吧。

首先你要明确，Token是用于登录后验证身份的，所以一开始就否决了你期待用它来做防恶意注册，这两者完全不搭嘎。其次，要说Token与Session有什么区别，那区别就在于Token更具有定制型，因为它是由你实现的，就能干很多Session不方便干的事情，比如更好的做设备认证，更方便的控制有效期，更好的跨平台性……最重要的，HTTP协议本身定义就是无状态的，而Cookie这种东西的存在无疑有损无状态这个定义，所以几乎所有的接口都拒绝使用Cookie，弃了Cookie，那Token自然成了验证的首选。最后，Token的安全性着重于其不会被破解，不会被篡改，而不在于它传输时会不会被截取造成中间者攻击。截取的防护应该是由你加强传输过程中的安全性来实现的，比如增加参数签名，或者直接上HTTPS。

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP : 서버 측 스크립팅 언어 소개Apr 16, 2025 am 12:18 AM

PHP는 동적 웹 개발 및 서버 측 응용 프로그램에 사용되는 서버 측 스크립팅 언어입니다. 1.PHP는 편집이 필요하지 않으며 빠른 발전에 적합한 해석 된 언어입니다. 2. PHP 코드는 HTML에 포함되어 웹 페이지를 쉽게 개발할 수 있습니다. 3. PHP는 서버 측 로직을 처리하고 HTML 출력을 생성하며 사용자 상호 작용 및 데이터 처리를 지원합니다. 4. PHP는 데이터베이스와 상호 작용하고 프로세스 양식 제출 및 서버 측 작업을 실행할 수 있습니다.

PHP 및 웹 : 장기적인 영향 탐색Apr 16, 2025 am 12:17 AM

PHP는 지난 수십 년 동안 네트워크를 형성했으며 웹 개발에서 계속 중요한 역할을 할 것입니다. 1) PHP는 1994 년에 시작되었으며 MySQL과의 원활한 통합으로 인해 개발자에게 최초의 선택이되었습니다. 2) 핵심 기능에는 동적 컨텐츠 생성 및 데이터베이스와의 통합이 포함되며 웹 사이트를 실시간으로 업데이트하고 맞춤형 방식으로 표시 할 수 있습니다. 3) PHP의 광범위한 응용 및 생태계는 장기적인 영향을 미쳤지 만 버전 업데이트 및 보안 문제에 직면 해 있습니다. 4) PHP7의 출시와 같은 최근 몇 년간의 성능 향상을 통해 현대 언어와 경쟁 할 수 있습니다. 5) 앞으로 PHP는 컨테이너화 및 마이크로 서비스와 같은 새로운 도전을 다루어야하지만 유연성과 활발한 커뮤니티로 인해 적응력이 있습니다.

PHP를 사용하는 이유는 무엇입니까? 설명 된 장점과 혜택Apr 16, 2025 am 12:16 AM

PHP의 핵심 이점에는 학습 용이성, 강력한 웹 개발 지원, 풍부한 라이브러리 및 프레임 워크, 고성능 및 확장 성, 크로스 플랫폼 호환성 및 비용 효율성이 포함됩니다. 1) 배우고 사용하기 쉽고 초보자에게 적합합니다. 2) 웹 서버와 우수한 통합 및 여러 데이터베이스를 지원합니다. 3) Laravel과 같은 강력한 프레임 워크가 있습니다. 4) 최적화를 통해 고성능을 달성 할 수 있습니다. 5) 여러 운영 체제 지원; 6) 개발 비용을 줄이기위한 오픈 소스.

신화를 폭로 : PHP가 실제로 죽은 언어입니까?Apr 16, 2025 am 12:15 AM

PHP는 죽지 않았습니다. 1) PHP 커뮤니티는 성능 및 보안 문제를 적극적으로 해결하고 PHP7.x는 성능을 향상시킵니다. 2) PHP는 최신 웹 개발에 적합하며 대규모 웹 사이트에서 널리 사용됩니다. 3) PHP는 배우기 쉽고 서버가 잘 수행되지만 유형 시스템은 정적 언어만큼 엄격하지 않습니다. 4) PHP는 컨텐츠 관리 및 전자 상거래 분야에서 여전히 중요하며 생태계는 계속 발전하고 있습니다. 5) Opcache 및 APC를 통해 성능을 최적화하고 OOP 및 설계 패턴을 사용하여 코드 품질을 향상시킵니다.

PHP vs. Python 토론 : 어느 것이 더 낫습니까?Apr 16, 2025 am 12:03 AM

PHP와 Python에는 고유 한 장점과 단점이 있으며 선택은 프로젝트 요구 사항에 따라 다릅니다. 1) PHP는 웹 개발, 배우기 쉽고 풍부한 커뮤니티 리소스에 적합하지만 구문은 현대적이지 않으며 성능과 보안에주의를 기울여야합니다. 2) Python은 간결한 구문과 배우기 쉬운 데이터 과학 및 기계 학습에 적합하지만 실행 속도 및 메모리 관리에는 병목 현상이 있습니다.

PHP의 목적 : 동적 웹 사이트 구축Apr 15, 2025 am 12:18 AM

PHP는 동적 웹 사이트를 구축하는 데 사용되며 해당 핵심 기능에는 다음이 포함됩니다. 1. 데이터베이스와 연결하여 동적 컨텐츠를 생성하고 웹 페이지를 실시간으로 생성합니다. 2. 사용자 상호 작용 및 양식 제출을 처리하고 입력을 확인하고 작업에 응답합니다. 3. 개인화 된 경험을 제공하기 위해 세션 및 사용자 인증을 관리합니다. 4. 성능을 최적화하고 모범 사례를 따라 웹 사이트 효율성 및 보안을 개선하십시오.

PHP : 데이터베이스 및 서버 측 로직 처리Apr 15, 2025 am 12:15 AM

PHP는 MySQLI 및 PDO 확장 기능을 사용하여 데이터베이스 작업 및 서버 측 로직 프로세싱에서 상호 작용하고 세션 관리와 같은 기능을 통해 서버 측로 로직을 처리합니다. 1) MySQLI 또는 PDO를 사용하여 데이터베이스에 연결하고 SQL 쿼리를 실행하십시오. 2) 세션 관리 및 기타 기능을 통해 HTTP 요청 및 사용자 상태를 처리합니다. 3) 트랜잭션을 사용하여 데이터베이스 작업의 원자력을 보장하십시오. 4) SQL 주입 방지, 디버깅을 위해 예외 처리 및 폐쇄 연결을 사용하십시오. 5) 인덱싱 및 캐시를 통해 성능을 최적화하고, 읽을 수있는 코드를 작성하고, 오류 처리를 수행하십시오.

PHP에서 SQL 주입을 어떻게 방지합니까? (준비된 진술, pdo)Apr 15, 2025 am 12:15 AM

PHP에서 전처리 문과 PDO를 사용하면 SQL 주입 공격을 효과적으로 방지 할 수 있습니다. 1) PDO를 사용하여 데이터베이스에 연결하고 오류 모드를 설정하십시오. 2) 준비 방법을 통해 전처리 명세서를 작성하고 자리 표시자를 사용하여 데이터를 전달하고 방법을 실행하십시오. 3) 쿼리 결과를 처리하고 코드의 보안 및 성능을 보장합니다.

See all articles