php token验证教程

在web开发中，我们可能经常会听到一个词"token",那么token是什么东西呢，在计算机身份认证中，token是代表令牌的意思，一般作为邀请授权，登录系统使用，一般来说我们常用的token有三种，一种是作为用户登录身份认证的身份令牌（user token），一种是针对接口使用的接口令牌（api token）, 还有一种是防止表单重复提交及crsf攻击的表单令牌（crsf token） ,下面我们讲解一下。

身份令牌(user_token)

1、作用身份令牌的作用是保护用户的用户名及密码多次提交，以防密码泄露。

2、生成原理1、用户提交“用户名”和“密码”，实现登录（条件允许，这一步最好走https）；2、登录成功后，服务端随机生成一串带过期时限的token字符串,比如我们简称为user_token

3、验证原理：1.客户端提交请求的时候带上参数（api_token）2.在服务端，根据路由名称，参数，时间戳，用同样的方法生成接口令牌，3.对比api_token和生成的token是否一致

表单令牌（crsf_token）

1、作用表单令牌一般用于防止表单重复提交、anti csrf攻击（跨站点请求伪造）

2、验证原理1.当客户端GET请求页面时，服务器会生成一个随机数Token，并且将Token放置到session当中2.将Token发使用 POST，PUT/PATCH，DELETE 给客户端（一般通过构造hidden表单）3.下次客户端提交请求时，Token会随着表单一起提交到服务器端。4.判断提交上来的token是否和session中的Token值相等，若相等，则可以证明请求有效，不是伪造的。5.更新或删除session中的token