声明

此文原创，未经允许，禁止转载，可以分享。

最近在做一个项目，是一个APP的后端开发。我需要完成后端框架的建立、数据库设计、后端代码的编写。在这里讲一下APP与后端交互的安全性。

没有AUTH的验证

最简单的验证机制是通过session来存储认证信息的，但这个不便于客户端存储，而且有不能跨域请求认证的缺点。

大致流程：

• 用户登录（输入账户密码）
• 后端验证
• 验证通过则在session存储用户ID

每个用户经过我们的应用认证之后，我们的应用都要在服务端做一次记录，以方便用户下次请求的鉴别，通常而言session都是保存在内存中，而随着认证用户的增多，服务端的开销会明显增大。

Basic 认证方式

传统的认证方式就是构造一个字符串，这个字符串里面含有账户名和密码，比如：

$str = "username:password";

如果希望它不可读，可以对其进行base64编码：

$str = "username:password";
$token = base64_encode($str);
echo $token;

dXNlcm5hbWU6cGFzc3dvcmQ=

这样每次请求API的时候加上这个Token值，然后后端获取到这个Token值，对其进行：

$str = base64_decode($token);
$auth = explode(':', $str);
var_dump($auth);

然后使用auth到数据库中进行查询来验证有效性。

但缺点很明显：

• 被窃取的可能性：每次使用这个token值进行请求，意味着每次请求都在泄露用户的密码。
• 增加数据库工作量：每次请求都要去数据库查询是否有效，效率明显下降。

对于传统的AUTH方式做了改进，引入JWT。

JWT认证机制

什么是JWT？

Json web token (JWT), 是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

它的核心就是签名。比如我有一个字符串。

$str = "qq:792598794;name:sungod";

我该怎么验证这是我给的字符串呢？
方法很简单，对这个字符串和一个密钥，一起进行不可逆运算

echo md5($str . 'KEY');
echo sha1($str . 'KEY');
echo crypt($str, 'KEY');

假如我们使用sha1算法对其进行不可逆运行，得到：

81a2453b89cb914c2208a37e3ca4e4f26c44fe43

然后我们将这个结果放入到$str中

$str = "qq:792598794;name:sungod;auth=81a2453b89cb914c2208a37e3ca4e4f26c44fe43";
echo base64_encode($str);

cXE6NzkyNTk4Nzk0O25hbWU6c3VuZ29kO2F1dGg9ODFhMjQ1M2I4OWNiOTE0YzIyMDhhMzdlM2NhNGU0ZjI2YzQ0ZmU0Mw==

这样，如果KEY只有我知道（前提是肯定只有我知道），那么我敢说这个字符串一定是我给的。

利用这个，我们前人总结出了一个规范JWT。

JWT流程

• 客户端使用账户密码进行签名请求
• 服务器验证账户密码是否有效
• 通过验证服务器返回一个Token
• 客户端存储这个Token，并每次请求都携带
• 服务器接收到需要验证的请求，验证客户端发来的Token

这个Token可以放在请求头、Cookie、GET、POST，看具体的业务逻辑需要。

如何正确的构造JWT

在PHP中，我们需要一个数组，这个数组用来存储用户的主要信息

$data = [
        'uid'      =>  10000,
        'exp'      =>  time() + 3600,
    ];

uid 表示用户的ID，键值尽量不要取得太长uid三个字符刚好。
exp 表示这个Token什么时候失效，这里是当前时间的1小时后。

对于一个数组，我们不能把它进行不可逆运行，需要将其转换一下。

// 转换为json字符串
$data = json_encode($data);
// 转换为base64编码
$data = base64_encode($data);
echo $data;

最后我们数组成为了一个字符串，每次都不一样，因为有时间在变化

eyJ1aWQiOjEwMDAwLCJleHAiOjE1MDI2ODQ3MjF9

我们这这个字符串与KEY进行不可逆运行（签名），使用PHP自带的函数，它可以很友好的将我们的 data 进行不可逆运行，有关sha1。

$auth = sha1($data . "KEY");
echo $auth;

得到的签名

eb96a0b2df742f89192f40191122845b32fc7d01

将其和经过base64转换的数组信息进行拼接

eyJ1aWQiOjEwMDAwLCJleHAiOjE1MDI2ODQ3MjF9:eb96a0b2df742f89192f40191122845b32fc7d01

最后将其base64编码

ZXlKMWFXUWlPakV3TURBd0xDSmxlSEFpT2pFMU1ESTJPRFEzTWpGOTplYjk2YTBiMmRmNzQyZjg5MTkyZjQwMTkxMTIyODQ1YjMyZmM3ZDAx

这样我们就可以使用此字符串作为Token来和后端进行交互了。

注意

在data数组中不能存放敏感的信息，因为传统的base64编码是可以在客户端解开的。

在此，我们可以自定义一个base64编码，加一个key来进行base64。

下面利用base64修改的一个对称加密方案：

// 自定义Base64编码
function my_base64_encode($data, $key) {
    $str_arr = str_split(base64_encode($data));
    $str_count = count($str_arr);
    foreach (str_split($key) as $key => $value) {
        $key < $str_count && $str_arr[$key] .= $value;
    }
    return join('', $str_arr);
}

// 自定义Base64解码
function my_base64_decode($data, $key) {
    $str_arr = str_split($data, 2);
    $str_count = count($str_arr);
    foreach (str_split($key) as $key => $value) {
        $key <= $str_count  && isset($str_arr[$key]) && $str_arr[$key][1] === $value && $str_arr[$key] = $str_arr[$key][0];
    }
    return base64_decode(join('', $str_arr));
}

使用相同的key进行对称加密，即使别人获取到了Token，也不清楚里面的构造，利用时间换了安全性。

我们利用my_base64_encode对Token进行加密

eyJ1aWQiOjEwMDAwLCJleHAiOjE1MDI2ODQ3MjF9:eb96a0b2df742f89192f40191122845b32fc7d01

得到：

ZtXolkKeMnW_FsXaUlWtlPakV3TURBd0xDSmxlSEFpT2pFMU1ESTJPRFEzTWpGOTplYjk2YTBiMmRmNzQyZjg5MTkyZjQwMTkxMTIyODQ1YjMyZmM3ZDAxCg==

好了！

这是我做后端学到的知识，我认为还是不错的，分享给大家！
写的有不好，或者有问题的地方，欢迎更正！！