javascript - 关于PHP，JS和Token

Question

关于PHP，JS和Token

Answer 1

1，用户登录生成一个唯一值token存入redis数据库(token的生成:可以使用 random_int(), random_bytes(), or openssl_random_pseudo_bytes()函数生成一个随机数加上该用户的ip。如果你希望更安全一点，还可以进行一些变换，具体怎么做你可以看看密码学方面的书籍。）；
2，所有网络请求必须使用https，否则token很容易被窃取。（web程序不能保护token，因为web网页的算法会写在js里面，js文件可以被浏览，所以别人浏览js文件就知道了你的算法，即使js被混淆也还是不安全，安卓和ios程序如果被破解算法也会被别人知道，所以最好的方案还是使用https）；
3，token必须设置过期时间，这个时间随意，并没有特别的限制，可以让产品人员设定。如果没有人来定，可以使用15分钟；
4，如果需要用户登录才能访问的内容每次请求都必须带上token，并且要进行token验证。（这也是为什么使用redis而不是mysql存储token的原因,提高请求速度）；默认php使用文件存储session，每次都要读取文件，其实也会有性能损失，并不一定比读数据库性能会好。所以你不需要担心读数据库导致的性能问题。
5，如果是web网页程序，一般登录后可以把token存储在cookie里面， 同时设置HTTP-Only（表示该cookie值不能被js读取)

Answer 2

你的流程看着我不是很明白。给你一个思路，token的作用在于这是一个不能篡改的字串，篡改后即无效，前端的任何数据都是可以非法篡改的。1:用户登陆后PHP读取用户的token并输出到页面，token一般有用户标识token和用户身份token，当然用一个也可以看你后端token的检验算法。2:前端和后端数据交互时，将数据和token传入后端，token起到用户身份及标识的作用。前端不应该将用户名和密码传入后端。token若发生篡改则检验失败。3:token的生成跟用户信息并不需要有任何关联，token由认意位数的仁意字符串组成，存进数据库中，token的生命周期看你需求，一般生成一次永久使用即可，数据库中的user表中增加token字段用于存储token，或者建立一张表，将user_ID和token关联。