我是Laravel 4框架和PHP的初学者。
目前,我正在尝试在客户端应用程序和服务器之间执行简单的身份验证过程。
以下是我计划的方法:
-
客户端使用用户名和密码通过GET请求登录到服务器。
-
如果成功,服务器将验证并返回令牌字符串。令牌字符串将使用用户名、密码和过期时间进行编码(散列?
-
客户端提交请求,包括给定的令牌。服务器将验证令牌(解码它 ->检查用户名/密码和过期时间)。如果成功,它将处理客户端的请求。
使用上述参数生成令牌并在服务器端对其进行解码的最佳方法是什么?
谢谢你,我感谢你的时间和帮助。
我认为将用户名和密码存储在某种令牌中不是好主意。而是在成功登录后生成随机令牌,并将与令牌相关的数据存储在服务器端。
您可以将有关每次登录的记录存储到某个表中,其中包含 token 、user_id valid_until 列。每次请求后,在数据库中查找令牌,检查它是否仍然有效并使用user_id进行身份验证。
一次性用户和密码,例如,如果您对允许没有密码的访问感到不安,可以将令牌的前 8 个字符视为临时用户名,其余字符视为密码:)
此外,您可能希望每天左右运行一些 cron 作业以从数据库中删除过期记录。
您可以使用 JWT JSON Web 令牌进行身份验证,以完全消除会话和 Cookie。Facebook也使用了类似的方法。使用电子邮件和 pwd 登录后,您将获得一个 Web 令牌,因此即使它被黑客入侵,您也无法从中获取 pwd。您可以设置令牌过期的时间限制。