最近在用php写app的接口,有一些疑问
首先关于token(令牌)
token是用户登录的时候生成的
用户token在服务端保存入库 客户端则缓存在本地 大部分接口都要求客户端发送token 和服务端数据库中的token进行验证
每个用户唯一token 是由 年月 和 客户端机器码标识 用户id 组成的
(年月是做登录保存期限用的 机器码是在持保证用户下次登录时,快捷识别登录来源,判断是否需要重新登录的重要凭证,用户id其实是顺便加的)
问题来了
=。= 这东西感觉做出来就和session没什么区别
**如果直接抓一下包
每个用户通一个平台的客户端的token都是一样的 对于防攻击并没有什么用**
而且这种token是基于用户的 所以用户的登录 注册验证(防机器人)验证上这种token是帮不了忙的
=。=我还在再设计一个啥 来验证 (有办法在这种token思路上 把登录注册验证也做了吗)
回复内容:
最近在用php写app的接口,有一些疑问
首先关于token(令牌)
token是用户登录的时候生成的
用户token在服务端保存入库 客户端则缓存在本地 大部分接口都要求客户端发送token 和服务端数据库中的token进行验证
每个用户唯一token 是由 年月 和 客户端机器码标识 用户id 组成的
(年月是做登录保存期限用的 机器码是在持保证用户下次登录时,快捷识别登录来源,判断是否需要重新登录的重要凭证,用户id其实是顺便加的)
问题来了
=。= 这东西感觉做出来就和session没什么区别
**如果直接抓一下包
每个用户通一个平台的客户端的token都是一样的 对于防攻击并没有什么用**
而且这种token是基于用户的 所以用户的登录 注册验证(防机器人)验证上这种token是帮不了忙的
=。=我还在再设计一个啥 来验证 (有办法在这种token思路上 把登录注册验证也做了吗)
此问题简单至极,以php举例。
但和session不一样,和cookies有点接近,设计这个是为了解决cookies传值麻烦的问题。
首先在登陆的过程中,用户向服务端提交数据应有username、password、client_key
php在服务端拿到这些数据之后,用校验算法获取校验值,如md5。
(ps:不加密码是不行的,否则用户修改密码后之前的还是可以快捷登陆,这不坑人吗)$salt是一个加密key,防止别人猜到加密算法。
$token=md5($username.$password.date('yyyy').date('mm').$client_key.$salt);
计算完成后将$token返回到客户端,作为存储。以后客户端只需要向服务端发送此$token和用户名。
当php收到这个$token就再做一次上面的运算,看是否一致即可快捷判断。
如果需要防止恶意注册和登陆,就需要在客户端对client_key进行加密,然后服务端解密做验证,然而这并没有什么卵用,一切客户端的代码都是不安全的,可以通过反编译,反混淆来分析,然后照样伪造。所以客户端的加密没有意义。
另外,服务器通过ip判断也是一个办法。
然而,从根源上来讲,防止恶意攻击就需要验证手机号才能注册,目前基本上通过此种方法实现。
我也在写,还没有实现
1.如果用户是通过token验证登陆的,在app上也就是类似cookie的东西,用户拿来登陆是没什么问题,如果是当用户换客户端登陆,则需要重新登陆,那在验证的时候再获取客户端机器码匹配一下.
另外客户端的token也可以做复杂,用js进行加密处理,在php获取再进行解析.
虽然token在一定程度上是不安全的,但是相比较,比传递用户密码来的安全。
使用token的场景一般是无状态无cookies的模式,如果有token充当cookies中的sessionID的作用。
token虽然不安全,但是由一定程度的验证模式,那么还是可以使其可信的
刚好前不久自己写了篇博客,虽然没有涉及到一些技术细节,但思路还是有的,看看对你有没有帮助吧。
首先你要明确,Token是用于登录后验证身份的,所以一开始就否决了你期待用它来做防恶意注册,这两者完全不搭嘎。其次,要说Token与Session有什么区别,那区别就在于Token更具有定制型,因为它是由你实现的,就能干很多Session不方便干的事情,比如更好的做设备认证,更方便的控制有效期,更好的跨平台性……最重要的,HTTP协议本身定义就是无状态的,而Cookie这种东西的存在无疑有损无状态这个定义,所以几乎所有的接口都拒绝使用Cookie,弃了Cookie,那Token自然成了验证的首选。最后,Token的安全性着重于其不会被破解,不会被篡改,而不在于它传输时会不会被截取造成中间者攻击。截取的防护应该是由你加强传输过程中的安全性来实现的,比如增加参数签名,或者直接上HTTPS。
超越炒作:评估当今PHP的角色Apr 12, 2025 am 12:17 AMPHP在现代编程中仍然是一个强大且广泛使用的工具,尤其在web开发领域。1)PHP易用且与数据库集成无缝,是许多开发者的首选。2)它支持动态内容生成和面向对象编程,适合快速创建和维护网站。3)PHP的性能可以通过缓存和优化数据库查询来提升,其广泛的社区和丰富生态系统使其在当今技术栈中仍具重要地位。
PHP中的弱参考是什么?什么时候有用?Apr 12, 2025 am 12:13 AM在PHP中,弱引用是通过WeakReference类实现的,不会阻止垃圾回收器回收对象。弱引用适用于缓存系统和事件监听器等场景,需注意其不能保证对象存活,且垃圾回收可能延迟。
解释PHP中的__ Invoke Magic方法。Apr 12, 2025 am 12:07 AM\_\_invoke方法允许对象像函数一样被调用。1.定义\_\_invoke方法使对象可被调用。2.使用$obj(...)语法时,PHP会执行\_\_invoke方法。3.适用于日志记录和计算器等场景,提高代码灵活性和可读性。
解释PHP 8.1中的纤维以进行并发。Apr 12, 2025 am 12:05 AMFibers在PHP8.1中引入,提升了并发处理能力。1)Fibers是一种轻量级的并发模型,类似于协程。2)它们允许开发者手动控制任务的执行流,适合处理I/O密集型任务。3)使用Fibers可以编写更高效、响应性更强的代码。
PHP社区:资源,支持和发展Apr 12, 2025 am 12:04 AMPHP社区提供了丰富的资源和支持,帮助开发者成长。1)资源包括官方文档、教程、博客和开源项目如Laravel和Symfony。2)支持可以通过StackOverflow、Reddit和Slack频道获得。3)开发动态可以通过关注RFC了解。4)融入社区可以通过积极参与、贡献代码和学习分享来实现。
PHP与Python:了解差异Apr 11, 2025 am 12:15 AMPHP和Python各有优势,选择应基于项目需求。1.PHP适合web开发,语法简单,执行效率高。2.Python适用于数据科学和机器学习,语法简洁,库丰富。
php:死亡还是简单地适应?Apr 11, 2025 am 12:13 AMPHP不是在消亡,而是在不断适应和进化。1)PHP从1994年起经历多次版本迭代,适应新技术趋势。2)目前广泛应用于电子商务、内容管理系统等领域。3)PHP8引入JIT编译器等功能,提升性能和现代化。4)使用OPcache和遵循PSR-12标准可优化性能和代码质量。
PHP的未来:改编和创新Apr 11, 2025 am 12:01 AMPHP的未来将通过适应新技术趋势和引入创新特性来实现:1)适应云计算、容器化和微服务架构,支持Docker和Kubernetes;2)引入JIT编译器和枚举类型,提升性能和数据处理效率;3)持续优化性能和推广最佳实践。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
VSCode Windows 64位 下载
微软推出的免费、功能强大的一款IDE编辑器
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
螳螂BT
Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。
WebStorm Mac版
好用的JavaScript开发工具
ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境
