如果有人伪造了 jwt token 的话,我该如何应对?
我安装了 composer require tinywan/jwt 。
我在用 webman 生成接口,给小程序和 app 使用,用户的所有操作,都需要带上手机号,你确保身份唯一。
如果有人按照我设置的规则, 并且更改了手机号,生成了 jwt , 我还需要不需要在接口里去验证token里的手机号和用户传递过来的手机号是否一样?或者用户用正确的 token ,但是更改了传递过来的手机号,我是否需要验证?
public function venueOrderinfoVerification(Request $request, string $local_order_number){
// 获取 TokenVerifyMiddleware 里已经解密好的用户数据
$staffinfo = $request->data;
$param = [
'mobile' => $request->get('mobile'),
'local_order_number' => $local_order_number,
];
$validate = new VenueOrderinfoVerificationValidate();
if (!$validate->check($param)) {
return json($validate->getError());
}
// 去除传递过来参数的前后空格
$param = array_map('trim', $param);
// 这部分多余不????????
if ($param['mobile'] != $staffinfo['mobile']){
return json([
// 'HTTP_FAIL_REQUEST' => [200112, '非法请求,请确认请求者身份。'],
'code' => config('myconfig.statusCode.HTTP_FAIL_REQUEST')[0],
'msg' => config('myconfig.statusCode.HTTP_FAIL_REQUEST')[1],
'data' => [],
]);
}
// 业务逻辑...
return json([
// 'HTTP_OK' => [200100, '请求成功'],
'code' => config('myconfig.statusCode.HTTP_OK')[0],
'msg' => config('myconfig.statusCode.HTTP_OK')[1],
'data' => [],
]);
}
663 4 1
4个回答
相似问题
赞助商
热门问答
发一个Webman AI 聊天源码 (赠送apikey)
webman 播放视频要等待很久,才能播放,原生PHP是秒放,要调整哪里才能达到效果
🚀 将webman打包成二进制,PHP也可以打包成二进制了
打二进制包后忽略的文件放在同目录不会引用?
请问下,我想给plugin下的所有应用添加一个全局中间件,来达到限制外部访问的目的,应该怎么做啊?
大佬们 能不能编译一个有xlswriter扩展的php静态文件啊,由于本人能力有限,望大佬们帮帮忙
webman的平滑重启可以重新加载一些东西吗?
🚀 PHP静态文件下载-无需编译PHP环境
🤔 做个小调研,大家用 webman 一般用哪个 ORM 呢?
xlswriter webman没有集成吗
签名认证失败,都认为是无效访问令牌。
token 传过来 不是应该还要在服务端自行验证吗?你可以将所有的电话号码提前放在内存;到时候在内存验证 就可以了
签名认证失败,直接返回401状态码就行了
难道你不验证令牌的?