WEB开发,登录信息可以通过记录SESSION来进行验证,而在APP开发的过程中,由于无法保存SESSION,所以通过access_token来进行登录验证。如果用户有access_toke,并且正确,则验证通过,否则提示未登录。
操作步骤
流程说明:
生成token的算法可以自己定义,比如:
$str = md5(uniqid(md5(microtime(true)), true)); //uniqid — 生成一个唯一ID
$token = sha1($str.$phone); //$phone为用户的手机号
$access_token = $token.'||'.$id; //$id为用户的id
- 我们还可以对access_token进行唯一性验证和时间验证
时间验证:通过在access_token 中保存当前时间,在服务器上,通过服务器时间与保存的时间进行验证,判断是否超时
唯一性验证:缓存文件、myql、redis等保存access_token,服务器上验证判断是否存在,存在则说明改token可能被黑客劫持,拒绝请求。
相关连接:API接口数据安全解决方案-sign
结论
这里只讲解了一些access_token的理论过程,在时间操作中人有许多注意的地方。
如果您对这个文章有任何异议,那么请在文章评论处写上你的评论。
愿大家都能在编程这条路,越走越远。
在爱的世界里没有谁对谁错,谁先陷入了,谁就注定输;为了你我丢了自己仅有的骄傲,不求有结果、不求曾经拥有、甚至不求你爱我,只求在我最美的年华里——遇见你,在孤独的时候,能给我安慰;在寂寞的时候,能给我温暖;我宁愿流泪也不哭着说后悔。
