小白问题!关于PHP,JS和Token


是这样的,本人想用html/css/js来做一个Android的Hybrid APP,用的是Cordova来包装。
至于Server方面则是PHP。

我想用Token来替代Session来判断用户的登录状态,因为完全就是个小白,第一次接触Token,不清楚流程。
我的问题将(括号)起来

我的设想是这样:

  1. 用户点击登录后,用Ajax发送用户名和密码到Server,判断用户信息无误后php生成一个Token(怎么生成?需要拿用户信息来生成吗?需不需要加密?怎么加密?)。

  2. 然后生成的Token存在数据库,再把Token传回给用户APP(用什么传,JSON安全吗,怎么确保Token不被截取,或截取了也没办法干什么坏事),并储存在APP本地。

  3. 登录后跳转到新的页面,新的页面一开始就会Ajax发送存在本地的用户名和Token,如果Token和数据库的不相同就会被取消登录状态,跳转回登录页面。(Token需不需要一段时间更新一次,还是待到用户下一次登录的时候才更新?如果需要更新,那么推荐的更新间隔时长是多久?)

  4. 用户的每个会与Server进行沟通的操作都要进行Token验证【如第三步】。(需不需要每个操作都验证,这样会不会照常Server和Database的负担,最重要的是用户APP方面效率会不会很差?)

希望有人帮帮我这个小白,网上搜寻了很多都找不到我想要的答案。。。

token Android php JavaScript

奇犽丶揍敌客 9 years, 4 months ago

你的流程看着我不是很明白。给你一个思路,token的作用在于这是一个不能篡改的字串,篡改后即无效,前端的任何数据都是可以非法篡改的。1:用户登陆后PHP读取用户的token并输出到页面,token一般有用户标识token和用户身份token,当然用一个也可以看你后端token的检验算法。2:前端和后端数据交互时,将数据和token传入后端,token起到用户身份及标识的作用。前端不应该将用户名和密码传入后端。token若发生篡改则检验失败。3:token的生成跟用户信息并不需要有任何关联,token由认意位数的仁意字符串组成,存进数据库中,token的生命周期看你需求,一般生成一次永久使用即可,数据库中的user表中增加token字段用于存储token,或者建立一张表,将user_ID和token关联。

一隻臭臭的腐女 answered 9 years, 4 months ago

Your Answer