Я нашел следующую статью и код
https://coderwall.com/p/8wrxfw/goodbye-php-sessions-hello-json-web-tokens
Что значит слова If the token has been tampered with then $token will be empty there will not be an id available. The JWT class makes sure that invalid data is never made available. If the token is tampered with, it will be unusable.
, ? Есть ли какая-то технология, которая, если smbd еще читает токен, становится измененной ???
Лучше использовать токен, чем сеанс?
Поняли, что
(1) если сервер отправит какой-то ключ в скрытое поле,
который изменяется владельцем javascript во времени, а в случае вызова ajax, перенаправления или публикации с использованием некоторого правила в зависимости от временной сигнатуры, присутствующей в ключе, и других параметров, таких как counter,
(2) тогда сервер не ожидает, что ключ будет таким же,
но приблизительно может угадать значение по временным сигнатурам и некоторым другим определенным параметрам,
(3) таким образом, если он получает тот же ключ, это означает, что хакер отправляет ключ:
Jwt токен — это токен, сила которого в том, что его невозможно изменить, любые изменения уничтожают токен.
Но хакеры обычно не меняют ключи, они пытаются их идентифицировать и отправлять одинаково. Таким образом, безопасный ключ — это ключ, который меняется во времени.
Gogin, чтобы реализовать один и написать статью.
Вы знаете что-нибудь об этом типе безопасности?
Это означает, что токен, который был закодирован секретным ключом, хранящимся на стороне сервера, не может быть декодирован тем же ключом, если он был каким-либо образом изменен. Таким образом, любая попытка декодирования вернет пустое значение вместо неверного токена.
Это, конечно, требует, чтобы секретный ключ оставался секретным (если этого не произойдет, то, я бы сказал, возникнут более серьезные проблемы).
Других решений пока нет …