lnmp - 登录技术方案设计与实现

原创

stark张宇

发布于 2024-09-17 20:35:58

1241

发布于 2024-09-17 20:35:58

文章被收录于专栏：stark张宇

概述

登录功能是对于每个动态系统来说都是非常基础的功能，用以区别用户身份、和对应的权限和信息，设计出一套安全的登录方案尤为重要，接下来我介绍一下常见的认证机制的登录设计方案。

方案设计

HTTP 是一种无状态的协议，客户端每次发送请求时，首先要和服务器端建立一个连接，在请求完成后又会断开这个连接。系统登录的本质是确认用户的合法性和身份。

Cookie + Session 登录

在 B/S 系统中，登录功能通常都是基于 Cookie 来实现的。当用户登录成功后，一般会将登录状态记录到 Session 中。要实现服务端对客户端的登录信息进行验证都，需要在客户端保存一些信息（SessionId），并要求客户端在之后的每次请求中携带它们。在这样的场景下，使用 Cookie 无疑是最方便的，因此我们一般都会将 Session 的 Id 保存到 Cookie 中，当服务端收到请求后，通过验证 Cookie 中的信息来判断用户是否登录。

用户首次登录流程

1、用户访问 www.stark.com/login，并输入密码登录。

2、服务器验证密码无误后，会创建 SessionId，并将它保存起来。

3、服务器端响应这个 HTTP 请求，并通过 Set-Cookie 头信息，将 SessionId 写入 Cookie 中。

cookice后续校验流程

获取cookice后续的访问就可以直接使用 Cookie 进行身份验证了

1、用户访问 www.stark.com/console 页面时，会自动带上第一次登录时写入的 Cookie。

2、服务器端比对 Cookie 中的 SessionId 和保存在服务器端的 SessionId 是否一致。

3、如果一致，则身份验证成功，访问页面；如果无效，则需要用户重新登录。

需要注意的是: Cookie + Session 的方案中最关键的环节是传递Cookie有时可能会面临Cookie禁用的情况，记住只要把Cookie的值传递给服务端得到SessionId即可，可以是存储在LocalStorage，也可以使用URL 的GET方式传输。

Cookie + Session 技术实现

Cookie + Session的核心点在于数据的加密和解密的算法，在用户登录进行加密、生成Cookie,在之后的交互的时候携带在header的信息头中。

加密函数代码:

function passportEncrypt($txt, $key = 'stark-server@2024@#$!'): string
{
    $txt = 'yy-依加衣-' . time() . '-' . $txt;
    srand((double)microtime() * 1000000);
    $encrypt_key = md5(rand(0, 32000));
    // 变量初始化
    $ctr = 0;
    $tmp = '';
    for ($i = 0; $i < strlen($txt); $i++) {
        $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
        $tmp .= $encrypt_key[$ctr] . ($txt[$i] ^ $encrypt_key[$ctr++]);
    }
    return base64_encode(passportKey($tmp, $key));
}

function passportKey($txt, $encrypt_key): string
{
    $encrypt_key = md5($encrypt_key);
    $ctr = 0;
    $tmp = '';
    for ($i = 0; $i < strlen($txt); $i++) {
        $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
        $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
    }
    return $tmp;
}

字符串解密函数:

function passportDecrypt($txt, $key = 'stark-server@2024@#$!')
{
    $txt = str_replace(' ', '+', $txt);
    $txt = passportKey(base64_decode($txt), $key);
    $tmp = '';
    for ($i = 0; $i < strlen($txt); $i++) {
        if (!isset($txt[$i]) || !isset($txt[$i + 1])) {
            return 0;
        } else {
            $tmp .= $txt[$i] ^ $txt[++$i];
        }
    }
    $tmp = explode('-', $tmp);
    $tmp[3] = $tmp[3] ?? 0;
    return $tmp[3];
}

加密解密实现的具体逻辑:

//加密
$data = [
    'admin_id' => $adminInfo['admin_id'],
    'admin_name' => $adminInfo['admin_name'],
];
$demoStr = json_encode($data,JSON_UNESCAPED_UNICODE);
$authorization = passportEncrypt($demoStr);


Cookie::set('Auth-stark', $authorization,
    ['prefix' => 'think', 'expire' => 3600]
);

//解密
$json = passportDecrypt($authorization);
if(mb_strlen($json) > 0){
    $demoData = json_decode($json,true);
}

Token 登录

由于服务器端需要对接大量的客户端，也就需要存放大量的 SessionId，这样会导致服务器压力过大、无法避免 CSRF 攻击等缺点，我们可以使用 Token 的登录方式。

Token是通过服务端生成的一串字符串，以作为客户端请求的一个令牌。当第一次登录后，服务器会生成一个 Token 并返回给客户端，客户端后续访问时，只需带上这个 Token 即可完成身份认证，很多企业使用JWT的技术来进行登录验证方式。

用户首次登录

1、用户访问 www.stark.com/login，输入账号密码，并点击登录。

2、服务器端验证账号密码无误，创建 Token。

3、服务器端将 Token 返回给客户端，由客户端存储在Header头信息里。

后续页面访问

1、用户访问 www.stark.com/login 时，带上第一次登录时获取的 Token。

2、服务器端验证该 Token ，有效则身份验证成功，无效则踢回重新的登录。

Token 生成方式

最常见的 Token 生成方式是使用 JWT（Json Web Token），它是一种简洁的、自包含的方法，用于通信双方之间以 JSON 对象的形式安全的传递信息。

答案其实就在 Token 字符串中，其实 Token 并不是一串杂乱无章的字符串，而是通过多种算法拼接组合而成的字符串。

JWT 算法主要分为 3 个部分：header（头信息），playload（消息体），signature（签名）。

header 部分指定了该 JWT 使用的签名算法；
playload 部分表明了 JWT 的意图；
signature 部分为 JWT 的签名，主要为了让 JWT 不能被随意篡改。

JWT Token 技术实现

Compose 安装 Jwt 的两种方式,我使用的是6.10版本 :

## 安装
composer require firebase/php-jwt 6.10

使用 composer.json 安装，加入文件,使用composer install

"require": {
    "firebase/php-jwt": "^6.10"
}

Jwt 主要是进行加密和解密，$payload定义的是你需要存储的数组信息：

public static function encode(int $adminId = 0): string
{
    $redis = new Redis(config('cache.stores.redis'));
    $secretKey = Env::get("JWT.key"); // 获取JWT生成签名的密钥
    $alg = Env::get("JWT.alg"); // 获取JWT加密算法
    $payload = [
        'admin_id' => $adminId, // 存储用户ID
        'exp' => time() + Env::get("JWT.exp"), // 设定过期时间
    ];
    $jwt = JWT::encode($payload, $secretKey, $alg); // 生成JWT令牌
    $token = config('prefix.auth');
    $redis->set($token.$adminId, $jwt,Env::get("JWT.exp") - rand(10,99));
    return $jwt;
}

解密的逻辑：

public static function decode(string $AccessToken = ''){
    $secretKey = Env::get("JWT.key"); // 获取JWT生成签名的密钥
    $alg = Env::get("JWT.alg"); // 获取JWT加密算法

    $secretKeyObj = new Key($secretKey,$alg);
    $headers = new stdClass();
    return JWT::decode($AccessToken, $secretKeyObj,$headers); // 使用JWT解密Token
}

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

thinkphp6

jwt

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

thinkphp6

jwt

登录后参与评论

0 条评论

热度