token

一、概述和通过config接口注入权限验证配置 由于微信的 临时素材 （如：录音文件）上传到微信服务器上， 微信后台保存时间为3天 。而我们需要长期保存，我们需要把资源从微信服务器转存到自己服务器，或者阿里云OSS/七牛云。 微信：新增临时素材 通过config接口注入权限验证配置： 步骤三：通过config接口注入权限验证配置 /** * 微信JS-SDK权限验证配置 * * @return array */ public function getSignPackage() { (new SignPackage())->goCheck(); $url = input('get.url'); $jsapiTicket = $this->getJsApiTicket(); $nonceStr = getRandChar(16); $timestamp = time(); $signature = $this->getSignature($jsapiTicket,$nonceStr,$timestamp,$url); $signPackage = array( "appId" => config('wx.g_app_id'), "nonceStr" => $nonceStr, "timestamp" => $timestamp, "signature" => $signature,

登录模块 需要做路由的守卫，有些模块是需要被保护的，必须登录才能访问。 常见手法是给路由添加 meta：{ auth：true } 来做标识，表示需要做认证。 // 路由守卫 router.beforeEach((to, from, next) => { // 判断要进入的路由是否需要认证 if(to.meta.auth) { // 通过token令牌机制判断是否已经登录 const token = localStorage.getItem('token'); if (token) { next(); // 如果登录则放行，进入路由 } else { // 跳转，并携带重定向地址 next({ path: '/login', query: { redirect: to.path } }); } } else { // 不需要验证的模块，直接放行 next(); } }); 在 Vuex 中存储登录状态 isLogin import Vue from 'vue' import Vuex from 'vuex' import user from './service/user' Vue.use(Vuex); export default new Vuex.Store({ state: { isLogin: localStorage.getItem('token') ? true :

php的api接口 在实际工作中，使用PHP写api接口是经常做的，PHP写好接口后，前台就可以通过链接获取接口提供的数据，而返回的数据一般分为两种情况，xml和json,在这个过程中，服务器并不知道，请求的来源是什么，有可能是别人非法调用我们的接口，获取数据，因此就要使用安全验证。 验证原理 示意图 原理 从图中可以看得很清楚，前台想要调用接口，需要使用几个参数生成签名。 时间戳：当前时间 随机数：随机生成的随机数 口令：前后台开发时，一个双方都知道的标识，相当于暗号 算法规则：商定好的运算规则，上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名，当需要访问接口的时候，把时间戳，随机数，签名通过URL传递到后台。后台拿到时间戳，随机数后，通过一样的算法规则计算出签名，然后和传递过来的签名进行对比，一样的话，返回数据。 算法规则 在前后台交互中，算法规则是非常重要的，前后台都要通过算法规则计算出签名，至于规则怎么制定，看你怎么高兴怎么来。 我这个算法规则是 1 时间戳，随机数，口令按照首字母大小写顺序排序 2 然后拼接成字符串 3 进行sha1加密 4 再进行MD5加密 5 转换成大写。 前台 这里我并没有实际的前台，直接使用一个PHP文件代替前台，然后通过CURL模拟GET请求。我使用的是TP框架，URL格式是pathinfo格式。 源代码 <?php /** *

上一篇文章大致解读了官方文档给出的开发概述，本文正式开始开发步骤的记录。 1. 为了配合微信请求只能使用域名的要求，可以使用natapp搭建外网服务器，模拟域名访问，详细的步骤可参考文章： 搭建外网传送门 。主要就是配置一个免费隧道，并下载对应的natapp插件，按照免费隧道中的authtoken，配置config.ini文件放在natapp根目录下，双击启动即可。 启动natapp见下列这样即说明配置成功，可通过域名访问 域名设置成功就可以进行公众号开发了. step1 引包 <!--微信封装类--> <dependency> <groupId>com.github.binarywang</groupId> <artifactId>weixin-java-mp</artifactId> <version>3.2.0</version> </dependency> <!--用于进行配置文件的注入--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-configuration-processor</artifactId> <optional>true</optional> </dependency> step2 微信相关配置信息的设置 server: port:

三大认证 上次讲的 drf 还剩下 三大认证，当然也是从 APIView 的 dispatch 为入口。 def dispatch(self, request, *args, **kwargs): """ `.dispatch()` is pretty much the same as Django's regular dispatch, but with extra hooks for startup, finalize, and exception handling. """ self.args = args self.kwargs = kwargs request = self.initialize_request(request, *args, **kwargs) self.request = request self.headers = self.default_response_headers # deprecate? try: #这一步就做了三大认证，进去看源码。 self.initial(request, *args, **kwargs) # Get the appropriate handler method if request.method.lower() in self.http_method_names: handler = getattr(self,

一、企业级的认证和授权是很复杂的 1、同时支持多种认证方式，如用户名密码登录、手机短信登录、微信登录、QQ登录等等 2、同时支持多种前端渠道，如浏览器登录、手机App登录 3、支持集群环境（多台设备登录），跨应用工作（单点登录SSO ），SESSION控制，控制用户权限，防护与身份认证相关的攻击 二、共三个项目Spring Security、Spring Social、Spring Security OAuth 当App与服务器通讯的时候，是没有SESSION的，会采用Token的方式存储用户的信息。Spring Security OAuth这个项目就是帮我们创建管理分发Token用的 来源： https://www.cnblogs.com/yanguobin/p/11964146.html

其实token与session的问题是一种时间与空间的博弈问题， session是空间换时间，而token是时间换空间。 一、发展史 　　很久很久以前，Web 基本上就是文档的浏览而已， 既然是浏览，作为服务器， 不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议， 就是请求加响应， 尤其是我不用记住是谁刚刚发了HTTP请求， 每个请求对我来说都是全新的。这段时间很嗨皮。 　　但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统， 哪些人往自己的购物车中放商品， 也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串，每个人收到的都不一样， 每次大家向我发起HTTP请求的时候，把这个字符串给一并捎过来， 这样我就能区分开谁是谁了 　　这样大家很嗨皮了，可是服务器就不嗨皮了，每个人只需要保存自己的session id，而服务器要保存所有人的session id ！ 如果访问服务器多了， 就得由成千上万，甚至几十万个。 这对服务器说是一个巨大的开销 ， 严重的限制了服务器扩展能力， 比如说我用两个机器组成了一个集群， 小F通过机器A登录了系统， 那session