【发布时间】:2015-06-30 06:02:12
【问题描述】:
我必须实现基于令牌的身份验证。
用户有一个用户名和一个密码。在将密码插入数据库之前,我使用 SHA512 方法对密码进行加密。 为了从服务器检索数据、进行查询和其他简单操作,我需要知道谁在请求数据以及是否 此人已通过身份验证。我想使用令牌。在注册期间,服务器为用户创建一个令牌并保存它 将 Person 表中的用户名和加密密码导入数据库。现在,当用户想要从服务器获取一些数据时,他可以使用令牌。
有没有办法让服务器了解用户正在使用令牌,还是我也需要传递用户名? 如果不在 Person 表中添加字段,我如何知道令牌何时过期?
我不确定我是否了解令牌的正确使用方法,也不知道如何实现它。 我使用 php 来实现服务器/数据库和 Android 应用程序之间的通信。
【问题讨论】:
-
SHA512 散列不够安全,无法存储密码。您需要使用 Bcrypt 或 PHP 的
password_hash()方法。
标签: php android authentication token