文章介绍了使用Token进行身份验证的优势,如增强安全性、支持可扩展性和无状态架构。详细阐述了数据库表设计,包括用户表和Token表,并提出了小程序登录的前端和后端流程,包括如何处理token的刷新和过期。此外,提到了使用JWT和SHA256生成更安全的token。
token身份认证
1.token优势
使用 token 的一个重要好处是可以提高应用程序的安全性。与使用用户 ID 进行身份验证相比,使用 token 可以更好地保护用户的隐私和安全,避免 CSRF 攻击。下面是一些具体的优势:
安全性增强:token 的设计理念包括使用加密技术,以确保数据不会被破解或伪造。这使得你的应用程序比仅使用用户 ID 更加安全。
可扩展性:token 机制支持跨服务器认证,这使得它可以通过多个不同的服务器进行验证。这使得应用程序可以简单快速地扩展,而无需担心身份验证和授权问题。
无状态架构:token 机制允许你在请求之间存储和传输信息,因此这是一种轻量级的身份验证方案。这意味着你的应用程序可以在多个设备和平台上运行,而且不会出现过多复杂的结构。
支持多种平台:使用 token 进行身份验证和授权,可以支持多种平台。例如,小程序、APP 和 Web 应用程序等,可以使用相同的身份验证和授权机制来进行验证,这也可以改进应用程序的用户体验。
综上所述,使用 token 能够提升你的应用程序的安全性,并简化身份验证和授权过程。与仅使用用户 ID 相比,这种方法可以更好地保护个人隐私并应对未来扩展需求。
2.设计方案
数据库表设计
用户表(users)
id:主键。
username:用户名。
passwordHash:密码哈希。
openId:小程序唯一标识。
createdAt:创建时间。
isDeleted:是否删除(伪删除)。
...
Token 表(tokens)
id:主键
userId:用户id。
userName:用户名。
openId:也可以存,用于支付。
token:加密后的 token 字符串。
type:类型,access_token(用于身份认证)或refresh_token(用于刷新access_token)。
expiresAt:过期时间。
status:状态:1=正常,2=账号冻结,3=过期 等等。
ip:终端ip。
updateAt:最后更新时间。
createdAt:创建时间。
小程序token方案(其他端差不多一样流程)
前端流程
- ① 用户小程序登录时wx.login获取code传给后端,后端返回 access_token 和 refresh_token。
- ② 前端将这俩字段存储在缓存中,每次请求在header中携带access_token,用于后端做用户身份认证。
- ③ 使用 access_token 获取用户信息,后端返回的用户信息不需要返回userId和openId等信息。
- ④ 当后端返回状态码401,则token过期或失效。前端利用refresh_token换取新access_token,来实现无感刷新token。如果没有refresh_token或者过期或失效,则调用wx.login来重新登录。
- ⑤ 前端不需要存储userId和openId。
后端流程
- ① 当小程序登录,接收到前端传过来的code,用code获取openid并做相应的用户操作(比如openid判断用户是否存在,创建用户等),对应tokens表中,将原来的数据状态status改为过期,插入两条新数据并同步到redis中,将access_token 和refresh_token返回给前端。
- ② token一般放在header中来传输,后端从header中来获取token,一般在中间件中处理token获取用户信息。每个接口前需要验证token的有效性,如失效或过期,code返回401。
- ③ 因校验token频率大,应采用redis缓存策略,每次校验先从redis中获取,拿不到再从数据库里获取,再拿不到返回401。用户量在百万级或者千万级,也是占不了多少内存的。
- ④ 刷新token,前端一样从header中传过来token,查询token的类型如果是refresh_token,即代表要刷新token了,先将数据库及redis中的access_token状态status改为已过期状态,并插入一条新token数据
access_token 过期时间一般2小时,refresh_token过期时间一般一周
总结
后端提供仨接口:
1.通过code获取access_token和refresh_token
(每次调佣都生成新的access_token和refresh_token,并将老的数据变为过期)
2.通过access_token 获取用户信息
3.通过refresh_token 刷新token,返回新access_token
(每次调用都生成新的access_token,并将老的数据变为过期)
token一般加密规则:用户id+当前时间戳+秘钥,用md5生成32位token
$userId = '12345';
$key = 'NGCg91MxssHMTIO4mXILZ2dO7sEVbVlg';
$nowTime = time();
$token = md5($userId . $nowTime . $key);
这个方式实现简单token验证够用了。
更完善的使用JWT+SHA256方式生成更规范token。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
