限时 5折! 详情
能否更改yii2.0 restful api 的授权方式
4 145 2017-10-16

狼兄的授权的业务逻辑是:

  1. 用户在客户端填写登录表单

    1. 用户提交表单,客户端请求登录接口login
    2. 服务端校验用户的帐号密码,并返回一个有效的token给客户端
    3. 客户端拿到用户的token,将之存储在客户端比如cookie中
    4. 客户端携带token访问需要校验的接口比如获取用户个人信息接口
    5. 服务端校验token的有效性,校验通过,返回客户端需要的信息,校验失败,需要用户重新登录 能否把2-3更改成:

      你访问一个接口的时候,携带时间戳还有 appkey还有token的md5(key+time),然后服务器端对这个token进行验证看是否合法

  • 4 个回答
  • 其实,token的作用无非是校验客户端的有效性,避免非法用户非法调用。
    如果是appKey授权第三方的方式,也是可以的。
    建议:加密算法可以复杂一些。

  • 狼兄,我现在的需求是这样的,会更yii集成好的授权机制冲突吗? 普通授权HTTPHeader参数 object
    TRAINING-AUTH-TYPE string BASIC_AUTH TRAINING-TIMESTAMP string 时间戳,单位秒 TRAINING-TOKEN string 使用timestamp+app_secret作MD5加密的授权机制 用户授权HTTPHeade参数 object
    TRAINING-AUTH-TYPE string USER_AUTH TRAINING-TIMESTAMP string 时间戳,单位秒 TRAINING-TOKEN app_secret:38C3DCEEFE483AD3650730B77D5EA431 string 使用timastamp+app_secret+user_id+password作MD5加密的授权机制 TRAINING-USER-ID string 用户id

  • 授权机制自己写一套即可,不会发生冲突。

  • 好的,谢谢狼兄

登录 去赚佣金