PHP:理解并实现基于令牌的身份验证系统

时间:2014-08-02 22:58:23

标签: php stateless http-token-authentication

我已经阅读了很多关于它的内容,但我仍然没有完全理解它。

我将来可能会使用现有解决方案的库,但我现在想了解并实现我自己的系统。

为了无国籍和可扩展,我认为我不能将用户上下文存储在服务器上。

主要问题是概念,如果我理解系统我会成功编码

我测试了我修改过的互联网上的代码(法语网站编号:http://blog.nalis.fr/index.php?post/2009/09/28/Securisation-stateless-PHP-avec-un-jeton-de-session-(token)-protection-CSRF-en-PHP)。 你能告诉我它是否正确或我是否能得到它?

因此,为了创建一个令牌,我使用这个函数作为参数,即用户的数据

define('SECRET_KEY', "fakesecretkey");

function createToken($data)
{
    /* Create a part of token using secretKey and other stuff */
    $tokenGeneric = SECRET_KEY.$_SERVER["SERVER_NAME"]; // It can be 'stronger' of course

    /* Encoding token */
    $token = hash('sha256', $tokenGeneric.$data);

    return array('token' => $token, 'userData' => $data);
}

因此,用户可以对自己进行身份验证并接收包含令牌(genericPart +他的数据,已编码)和未编码的数据的数组:

function auth($login, $password)
{
    // we check user. For instance, it's ok, and we get his ID and his role.
    $userID = 1;
    $userRole = "admin";

    // Concatenating data with TIME
    $data = time()."_".$userID."-".$userRole;
    $token = createToken($data);
    echo json_encode($token);
}

然后用户可以将他的令牌+他的未编码数据发送给我,以便检查:

define('VALIDITY_TIME', 3600);

function checkToken($receivedToken, $receivedData)
{
    /* Recreate the generic part of token using secretKey and other stuff */
    $tokenGeneric = SECRET_KEY.$_SERVER["SERVER_NAME"];

    // We create a token which should match
    $token = hash('sha256', $tokenGeneric.$receivedData);   

    // We check if token is ok !
    if ($receivedToken != $token)
    {
        echo 'wrong Token !';
        return false;
    }

    list($tokenDate, $userData) = explode("_", $receivedData);
    // here we compare tokenDate with current time using VALIDITY_TIME to check if the token is expired
    // if token expired we return false

    // otherwise it's ok and we return a new token
    return createToken(time()."#".$userData);   
}

$check = checkToken($_GET['token'], $_GET['data']);
if ($check !== false)
    echo json_encode(array("secureData" => "Oo")); // And we add the new token for the next request

我是对的吗?

抱歉这条长信息,抱歉我的英文。

提前感谢您的帮助!

1 个答案:

答案 0 :(得分:0)

您的代码中的问题是:您的整个系统基于$_GET基于Cookie的原始帖子。您应该将令牌存储在Cookie中(基于您的原始帖子,而不是{ {1}} 顺便说说;一些调整:

$_GET

在下一段代码中,我不知道您如何使用list($tokenDate, $userData) = array_pad(explode("_", $receivedData)); 

$login,$password
相关问题
最新问题