ThinkPHP保存Token验证登录-实现安全用户认证方案

在ThinkPHP框架中实现基于Token的验证登录，通常涉及生成Token、存储Token、验证Token等步骤。以下是一个简单的实现思路：

1. 用户登录并生成Token

当用户成功登录时，生成一个的Token，并将其与用户信息关联存储。可以选择将Token存储在数据库中，或者使用缓存（如Redis）来存储。

// 假设这是登录成功后的处理逻辑
function login($username, $password) {
    // 验证用户名和密码（省略具体实现）
    $user = getUserByUsername($username);
    if ($user && verifyPassword($password, $user['password'])) {
        // 生成Token，可以使用JWT或者简单的随机字符串
        $token = bin2hex(random_bytes(16)); // 或者使用JWT库生成

        // 存储Token，可以存到数据库或缓存
        // 示例：存储到数据库
        saveTokenToDatabase($user['id'], $token);

        // 返回Token给客户端
        return json(['status' => 'success', 'token' => $token]);
    }
    return json(['status' => 'fail', 'message' => '用户名或密码错误']);
}

2. 存储Token

如果选择数据库存储，可以创建一个表来存储Token，例如：

CREATE TABLE user_tokens (
    user_id INT PRIMARY KEY,
    token VARCHAR(64) NOT NULL,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

saveTokenToDatabase函数可以实现为：

function saveTokenToDatabase($userId, $token) {
    // 使用ThinkPHP的数据库操作
    Db::name('user_tokens')->where('user_id', $userId)->update(['token' => $token]);
    // 如果需要插入新用户或者更新已有用户，根据需求调整逻辑
}

3. 验证Token

在需要验证用户身份的请求中，提取Token并验证其有效性。

function authenticateRequest() {
    $headers = apache_request_headers(); // 或者使用 $_SERVER['HTTP_AUTHORIZATION']
    $authHeader = isset($headers['Authorization']) ? $headers['Authorization'] : '';

    if (strpos($authHeader, 'Bearer ') === 0) {
        $token = substr($authHeader, 7);

        // 验证Token，假设从数据库获取
        $userToken = Db::name('user_tokens')->where('token', $token)->find();

        if ($userToken) {
            // Token有效，可以进行后续操作，比如设置用户会话信息
            return json(['status' => 'success', 'user_id' => $userToken['user_id']]);
        }
    }

    return json(['status' => 'fail', 'message' => '未授权访问']);
}

4. 退出登录或Token失效

当用户退出登录时，需要使Token失效。可以通过删除数据库中的Token记录或更新其状态来实现。

function logout($userId) {
    // 删除Token记录
    Db::name('user_tokens')->where('user_id', $userId)->delete();
    return json(['status' => 'success', 'message' => '已退出登录']);
}

注意事项

• 安全性：确保Token生成和存储的安全性，避免被预测或篡改。
• 有效期：可以为Token设置有效期，过期后需要用户重新登录。
• HTTPS：在生产环境中，确保使用HTTPS来保护Token在传输过程中的安全。
• JWT：如果需要更复杂的Token管理，可以考虑使用JSON Web Token (JWT)，它自带签名和过期机制。

通过以上步骤，你可以在ThinkPHP中实现一个基本的Token验证登录系统。根据实际需求，你可能需要对这些步骤进行调整和扩展。