前後端分離或為了支援多個web應用,那麼原來的cookies或session在使用上就會有很大的問題
cookie和session認證需要在同一主網域下才可以進行認證(目前可以把session儲存在redis內解決)。
解決方案
oauth2 和jwt (建議學習:PHP影片教學)
#jwt :是一種安全標準。基本想法就是使用者提供使用者名稱和密碼給認證伺服器,伺服器驗證使用者提交資訊資訊的合法性;如果驗證成功,會產生並傳回一個token(令牌)
OAuth2 :是一個安全的授權框架。它詳細描述了系統中不同角色、使用者、服務前端應用(例如API),以及客戶端(例如網站或行動APP)之間怎麼實現相互認證。 (這裡採用jwt,這種JSON Web Token 這種方式進行認證)
生成方法
頭:加密類型
說明:訊息內容
key:一個隨機碼用來加密
上面三個部分使用,連接起來,然後使用hs256進行加密,產生tokent
詳細產生方法
1). 頭部通常由兩部分組成:令牌的類型(即JWT)和所使用的加密演算法(如:SHA256或RSA)
{ "alg": "HS256", "typ": "JWT" }
然後,這個json被Base64Url編碼,成為第一部分
2). 有效載荷是聲明。聲明是關於實體的部分。
{ "exp": "1525785339", "sub": "1234567890", "name": "John Doe", "admin": true }
然後將有效載荷Base64Url進行編碼,成為第二部分
(PS:此資訊儘管受到篡改保護,但是任何人都可以閱讀。除非加密,否則不要將重要資訊放在裡面)
3). 使用一個加密key
4). 簽名,需要使用編碼後的第一部分,編碼後的第二部分,然後一個關鍵的key。採用第一部分裡的加密演算法進行簽章
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), key )
該簽章用於驗證訊息是否有被竄改。
(PHP使用crypt方法進行加密。注意:SHA-256用於防篡改,AES-256用於加密兩個概念不一樣)
以上是php的token怎麼產生的的詳細內容。更多資訊請關注PHP中文網其他相關文章!