安装yii2遇到这样的提示：
 
 
 
Could not fetch https://api.github.com/repos/jquery/sizzle/contents/bower.json?ref=917b312f1d0777d3cccf6ceace2621bb9e8009b2, please create a GitHub OAuth token to go over the API rate limit
 Head to https://github.com/settings/tokens/new?scopes=repo&description=Composer+on+JIAN-PC+2017-05-11+1400
 to retrieve a token. It will be stored in “C:/Users/Administrator/AppData/Roaming/Composer/auth.json” for future use by Composer.
 
 
 这时候只要输入一个token就可以了，这个token在哪里创建或者获取呢？在这https://github.com/settings/tokens/，如果没有账号先注册一个github账号。这是github为了控制下载速度，避免资源被滥用采取的措施。
 
 第一步：创建新的token
 
 github创建token
 
 点击右上角Generate new token(初始化新的token).
 
 第二步：填写token相关信息
 
  
 
 填写token相关信息
 
 写 Token description，也就是这token的描述，方便自己下次查看token了解这个token用在哪里，什么时候创建的，用来干嘛。Select scopes选项都打勾就可以，打勾了这个就不限制你速度。然后最底下点击Generate token 即可得到授权的token.
 
 第三部：把得到的token填写到报需要填写token的地方，重新执行刚才要执行的composer安装执行即可。
 
 本人博客地址：Composer 安装东西遇到github需要token怎么办
 
 
 
 安装yii2遇到这样的提示：
 
 
 
  
Could not fetch https://api.github.com/repos/jquery/sizzle/contents/bower.json?ref=917b312f1d0777d3cccf6ceace2621bb9e8009b2, please create a GitHub OAuth token to go over the API rate limit
 Head to https://github.com/settings/tokens/new?scopes=repo&description=Composer+on+JIAN-PC+2017-05-11+1400
 to retrieve a token. It will be stored in “C:/Users/Administrator/AppData/Roaming/Composer/auth.json” for future use by Composer.
 
 
 
 
 这时候只要输入一个token就可以了，这个token在哪里创建或者获取呢？在这https://github.com/settings/tokens/，如果没有账号先注册一个github账号。这是github为了控制下载速度，避免资源被滥用采取的措施。
 
 
 第一步：创建新的token
 
 
 github创建token
 
 
 点击右上角Generate new token(初始化新的token).
 
 
 第二步：填写token相关信息
 
 
  
 
 
 填写token相关信息
 
 
 写 Token description，也就是这token的描述，方便自己下次查看token了解这个token用在哪里，什么时候创建的，用来干嘛。Select scopes选项都打勾就可以，打勾了这个就不限制你速度。然后最底下点击Generate token 即可得到授权的token.
 
 
 第三部：把得到的token填写到报需要填写token的地方，重新执行刚才要执行的composer安装执行即可。
 
 
 本人博客地址：Composer 安装东西遇到github需要token怎么办
 

token
 
 
身份验证
 http 请求的无状态性
 
 
JWT （jsonwebtoken)
 
 
用户登录 服务器端产生一个token (加密字符串) 发送给前端
前端将token 进行保存
前端发起数据请求的时候携带token
服务端 验证token 是否合法 如果合法继续操作 不合法终止操作
token 的使用场景 无状态请求 保持用户的登录状态 第三方登录（token+auth2.0）
 
小案例：登录页面
 
先打开终端，运行下面代码：
 
cd 进入token_demo，再安装依赖性文件：
 
打造一个简单的接口文件（login.js)：
 
在app.js 中引入 路由模块 ：
 

 
 5. 在 views 文件夹中新增一个 login.ejs 文件：
 
 6. 启动项目（ npm run start ）， 测试接口：
 
 7. 新建前端文件 token_fe，新建 index.html，样式布局。
 
<body onload="loadFn()">
  <div class="container">
    <div class="row">
      <div class="form-group">
        <label for=""> 用户名 </label>
        <input type="text" class="form-control username" name="" id="" aria-describedby="emailHelpId" placeholder="">
      </div>
    </div>
    <div class="row">
      <div class="form-group">
        <label for=""> 密码 </label>
        <input type="password" class="form-control password" name="" id="" placeholder="">
      </div>
    </div>
    <div class="row">
      <button type="button" class="btn btn-primary login"> 登录 </button>
    </div>
  </div>
</body>
 
（通过go live）打开静态服务器
点击登录得到用户名和密码，发送请求：
 
添加 onload 事件， 通过判断 cookie或是 本地存储是否有token值。如果有，那么不需要登录，自动跳转首页； 如果没有, 那么就登录。
 
 function loadFn() {
    var token = localStorage.getItem('token')
    if (token) {
      //有
      location.href = './index.html'
    } else {
      alert('你需要登录')
    }
  }
 
解决跨域，在 login.js 里面设置请求头：
 
前端发请求，在data里面加上token：
 
产生公钥和私钥，在终端分别运行以下代码：
 
后端判断 token 有没有值，安装 jsonwebtoken（npm i jsonwebtoken -S）
 
//引入文件系统
const fs = require('fs')
const path = require('path')
const jwt = require('jsonwebtoken')

 
   const { token, username, password } = req.body
    if (token) {
      //证明有值
      res.render('login', {
        data: JSON.stringify({
          info: '登录成功',
          status: 1
        })
      })
    } else {
      // 第一次登录 或是 token失效 
      // 重新生成token  返回给前台
      // 1. 通过文件系统读取私钥
      let private_key = fs.readFileSync(path.join(__dirname, '../rsa/private_key.pem'))
      var use_token = jwt.sign(username, private_key, { algorithm: 'RS256' });
      /* 
        payload: 负载也就是数据，这里是值用户名
        private_key: 通过openSSL 生成的私钥 
        RS256: 算法
      */
      res.render('login', {
        data: JSON.stringify({
          info: '登录成功',
          status: 1,
          token: use_token
        })
      })
    }
 
存 token：
 
success(res) {
        const result = JSON.parse(res)
        if (result.status === 1) {
          localStorage.setItem('token', result.token)
        }
      }

 
测试！

解决无效token的方法
 
在调用API接口时遇到了无效token的问题，网上搜了一大圈还以为是token时效的问题，最后发现是给需要授权的 API ，必须在请求头中使用Authorization 字段提供 token 令牌。
 关于Authorization（授权）的解释：
 
用户授予第三方应用访问该用户某些资源的权限
 
 
你在安装手机应用的时候，APP 会询问是否允许授予权限（访问相册、地理位置等权限）
 
 
你在访问微信小程序时，当登录时，小程序会询问是否允许授予权限（获取昵称、头像、地区、性别等个人信息）
 
 
实现授权的方式有：cookie、session、token、OAuth
 

 需要在main.js文件里添加axios拦截器
 
axios.interceptors.request.use(config => {
  console.log(config);
  config.headers.Authorization = window.sessionStorage.getItem('token');
  // 在最后必须return 
  return config
})
 
然后在请求头中可以发现Authorization的值还是Null,原因就是当你发送的发出的是登录请求，在登录期间服务器没有给你token，如果登录之后调用其他接口再去监听这次请求的话就会发现Authorization的值不在是null了,而是登录后的token。根据授权（Authorization）的解释，之所以要这么做的原因就是要给token授权访问api接口的权限。
 
 

由于最近负责的一个互联网APP项目中需要用到Token验证机制，所以这边抽空整理下整体流程。
 
我们知道现在最通用的Token是基于JWT来实现，简单来说其实就是用PublicKey来进行加密，生成的Token里面包含用户Id等信息，但是作为APP这种C/S体系结构来说，存在这样的问题：
 
1、PublicKey由服务端来存储，涉及版本更新迭代问题，并不好更改PublicKey；
 
2、各个用户的PublicKey相同，容易被抓包破解；
 
那如何保证每个用户的加密密钥不一样，后端又能够准确解密呢？
 
这里需要借助两张表来操作，后面再来一一介绍
 
1、APP设备备案表
 
 
2、APP登录验证票表
 
 
接下来开始介绍Token流程
 
下面为Token获取的整个流程图：
 
 
 
 
整体流程这里做一下稍微的介绍：
 
1、进去APP中先获取Android/Ios设备Id，参数如下：
 
 
调用后端接口获取appId和appSecret，如果数据库中有数据，则从APP设备备案表中直接获取，如果未存在数据，则往APP设备备案表中存入一条记录，appId和appSecret可以由UUID生成，并返回APP，appId和appSecret在APP做缓存处理，缓存周期可以为一天。
 
2、app判断本地是否缓存Token，如果没有则调用获取Token接口，参数如下
 
 
这里面需要做验证签名安全验证机制处理，验签加密为（uuid+appSecret+timestamp）做md5加密，保证每个用户验签内容不同，如果验证签名通过则生成Token、sessionKey（UUID）、sessionSecret（UUID），并将生成Token、sessionKey、sessionSecret、appId、appSecret等参数存于Redis内，参数如下：
 
 
并将Redis生命周期置为8小时（可自定义）。并将Token、sessionKey、sessionSecret返回APP。APP将Token做缓存处理，周期可以为8小时。
 
3、此时APP已经缓存有Token，调用接口请求数据，后端可以采用AOP或者Interceptor（拦截器）截取请求参数，验证是否有Token，没有则再获取。如果存在Token，验证Redis是否存在authenUserId和authenTicket（登录验证票），如果未存在则返回未登录状态码，APP跳转登录页。
 
4、登录账户密码以DES加密传输，以获取Token接口返回参数sessionKey和sessionSecret作为DES加密的key和iv，具体如下：
 
 
保证每个用户的不一致性加密，后台接口解密操作为：
 
 
登录成功后，更新Redis里面authenUserId和authenTicket（登录验证票）字段，往APP登录验证票表新增一条登录数据,记录用户登录记录，authenUserId和authenTicket可以由UUID生产，将authenUserId和authenTicket返回APP，并做缓存化处理。
 
5、重新请求接口，拦截器根据Token判断Redis里是否存在authenTicket，如果存在authenUserId和authenTicket（登录验证票）则为登陆成功状态，允许请求接口，至此Token流程基本结束。