RESTful,在不用session的情况下做用户认证

PHPABC PHP开发 6,208 次浏览 , 1条评论

最近在研究restful,在restful协议中,强调不使用session,但可以少量使用cookie。以保持restful的无状态性。

但是在实际使用中,有一个最大的问题,就是当应用需要用户登陆认证时,应该怎么处理。

在这里我的处理方法主要是把用户登陆后,把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token,写入cookie,然后在需要认证的应用时,由php等程序读取cookie中的token,并把用户名、密码、ip地址及最后更新时间解密出来。

先判断时间是否过期,过期的话,清除cookie,要求重新登陆!

再判断cookie中的ip是否与当前客户端ip一致,如果不等,要求重新登陆。

时间和ip都通过的话,则把用户名、密码做判断,判断是否正确,正确的话,把用户基本信息存在一全局变量中!

做后续应用,同时把生成新的token(主要是时间)写入cookie。

这样的话就解决了三个问题

第一、时效,cookie有一个生存时间、同时在token中也存储时间,方便让令牌失效;

第二、解决了cookie欺骗问题,因为token记录了客户端的ip地址;

第三、解决了安全问题,采用可逆加密,就算得到token在没有解密key的情况下也无法破解得用户名及密码。

还有一个情况,同时把token保存到服务器,这样更容易控制!但是把东西记录到服务器的话,其实它不就是session了么,伪session而以,所以还是不建议这么用!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

Go