Cookie Auth

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器端创建了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效。

Token Auth的优点

Token机制相对于Cookie机制相比有以下优势:

  • 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输;
  • 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息;
  • 更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.
    去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可;
  • 更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多;
  • CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。

认证过程

下面我们从一个实例来看如何运用PHP实现认证:

登录授权

  • 第一次登录,用户从浏览器输入用户名/密码,提交后台服务器的登录处理的Action层(Login Action);
  • Login Action调用认证服务进行用户名密码认证,如果认证通过,Login Action层调用用户信息服务获取用户信息(包括完整的用户信息及对应权限信息);
  • 验证用户信息合法后,Login Action从配置文件中获取Token签名生成的秘钥信息,进行Token的生成(可以调用第三方的JWT Lib生成签名后的JWT Token);
  • 完成JWT数据签名后,将其设置到COOKIE/HEADER 对象中,并重定向到首页,完成登录过程;

请求认证

基于Token的认证机制会在每一次请求中都带上完成签名的Token信息,这个Token信息可能在COOKIE
中,也可能在HTTP的Authorization头中。

过程如下:

阿里云-推广AD
  • 客户端(APP客户端或浏览器)通过GET或POST请求访问资源(页面或调用API);
  • 通过统一的Filter或者Interceptor 对请求进行拦截,首先在cookie中查找Token信息,如果没有找到,则在HTTP Authorization Head中查找;
  • 如果找到Token信息,则根据配置文件中的签名加密秘钥,调用JWT Lib对Token信息进行解密和解码;
  • 完成解码并验证签名通过后,对Token中的exp、nbf、aud等信息进行验证;
  • 全部通过后,根据获取的用户的角色权限信息,进行对请求的资源的权限逻辑判断;
  • 如果权限逻辑判断通过则通过Response对象返回;否则则返回HTTP 401;

(1)下面是用户登陆时把token插入数据库的代码
$logininfo[‘token’] = appuser::settoken();
$time_out = strtotime(“+7 days”);
db::setByPk(‘u_adver’, array(‘token1’ => $logininfo[‘token’], ‘time_out’ => $time_out), $logininfo[‘id’]);

(2)下面是生成token方法代码
public static function settoken()
{
$str = md5(uniqid(md5(microtime(true)),true)); //生成一个不会重复的字符串
$str = sha1($str); //加密
return $str;
}

(3)下面是每个接口都必须调用的token验证代码,验证具体实现是在(4)
$args[‘token’] = $_POST[‘token’];
$tokencheck = appuser::checktokens($args[‘token’], ‘u_adver’);
if ($tokencheck != 90001)
{
$res[‘msg_code’] = $tokencheck;
v_json($res);
}

(4)token验证方法,db::是数据库操作类,这里设置是token如果七天没被调用则需要重新登陆(也就是说用户7天没有操作APP则需要重新登陆),如果某个接口被调用,则会重新刷新过期时间
public static function checktokens($token, $table)
{
$res = db::getOneForFields($table, ‘time_out’, ‘token1 = ?’, array($token));
if (!empty($res))
{
if (time() – $res[‘time_out’] > 0)
{
return 90003; //token长时间未使用而过期,需重新登陆
}
$new_time_out = time() + 604800;//604800是七天
if (db::setWhere($table, array(‘time_out’ => $new_time_out), ‘token1 = ?’, array($token)))
{
return 90001; //token验证成功,time_out刷新成功,可以获取接口信息
}
}
return 90002; //token错误验证失败
}