【发布时间】:2018-05-28 10:12:09
【问题描述】:
我正在尝试通过在 laravel 5.5 中使用 md5 加密方法从登录用户的用户名中检查生成的令牌来执行 api-auth,并且不想将令牌保存到用户表中。当用户注销时,令牌将无效。 URL 将是这样的:
我该怎么做?
添加 - 这是第 44 届世界技能大赛的测试项目,以下来自测试项目文档:
- 身份验证
一个。登录(v1/auth/login)
说明:客户端通过用户名和密码获取登录令牌
请求方式:POST
Header:header授权基础
请求的参数:
- 正文:
o 用户名
密码
响应结果:
- 如果成功,
o 标头:响应状态:200
身体:
token`:授权令牌(在注销前有效)。令牌将由系统从登录的用户名使用 md5 加密方法生成
角色(管理员/用户)
- 如果用户名/密码不正确或为空,
o 标头:响应状态:401
o 正文:消息:无效登录
b.注销 (v1/auth/logout?token={AUTHORIZATION_TOKEN})
说明:服务器使用户令牌无效
请求方法:GET
Header:header授权基础
响应结果:
- 如果成功,
o 标头:响应状态:200
身体:
消息:注销成功
- 如果未经授权的用户访问它,
数据:
o 消息:未经授权的用户
o 响应状态:401
- 地点
一个。所有地点 (v1/place?token={AUTHORIZATION_TOKEN})
描述:供客户端列出数据库中的所有位置(包括用户的 基于频率索引的搜索历史)
请求方法:GET
Header:header授权基础
响应结果:
正文:
o 数组中的所有数据;由 id、name、latitude、longitude、x、y、image_path、description 组成。
o 响应状态:200
- 如果未经授权的用户访问它,
数据:
o 消息:未经授权的用户
o 响应状态:401
...
【问题讨论】:
-
md5 不是一种加密方法,这听起来非常不安全。
-
这只是第44届世界技能大赛的测试项目......不是真的。
-
我真的很想在伪代码中知道您要做什么...如果没有保存任何内容,您如何登录...您需要在 DB 中有一个令牌才能将其与用户用于登录的用户进行比较...您能更好地解释一下吗?
-
感谢lewis4u,用户将通过restful api登录,如果成功客户端将获取在服务器端生成的令牌并将其保存在客户端。用户注销后,令牌将失效。我认为必须在服务器端使用会话对象来存储令牌,或者?
标签: php laravel api authentication token