PHP开发移动端接口(加强版)
前面讲过:移动端与PHP服务端接口通讯流程设计(基础版)api
对于 api_token 的校验,其安全性还可再加强:安全
加强地方一:dom
再增长2张表,一个接口表,一个受权表,设计参考以下:ide
接口表加密
| 字段名 | 字段类型 | 注释 |
| api_id | int | 接口ID |
| api_name | varchar(120) | 接口名,以"/"做为分割线,如 blog/Index/addBlog |
| api_domain | varchar(255) | 所属领域 |
| is_enable | tinyiny(1) | 1可用,0不可用 |
| add_time | int | 添加时间 |
(注:只列出了核心字段,其它的再扩展吧!!!)spa
受权表设计
| 字段名 | 字段类型 | 注释 |
| client_id | int | 客户端ID |
| api_id | int | api编号 |
| api_name | varchar(120) | |
| is_enabled | tinyint(1) | 是否可用 1:可用 0:不可用 |
| add_time | int | 添加时间(戳) |
| expire_time | int | 过时时间(戳) |
(注:只列出了核心字段,其它的再扩展吧!!!)
对象
执行过程以下:blog
一、移动端与服务端生成的 api_token 进行对比,若是不相等,则直接返回错误,不然,进入下一步;token
二、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “受权表”记录,若是记录存在,且有效(是否可用,是否过时),则表示权限验证经过,返回接口数据,不然返回错误信息;
加强地方二:
对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感受http请求有可能被劫取,传递参数有可能被窜改等状况,仍是举个例子来讲吧:
有个直接转帐接口,页面上 我输入的是5元,表示我要给对方某某转帐5元,结果在http传递过程当中,被人劫取并窜改为了 10000元,并且入帐对象改为了“黑客”的帐号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,
方案一:走https,这个就很少说,比较公认的安全机制;
方案二:走数字签名,实现原理以下:
一个http请求,假如须要传递以下3个参数
参数名1=参数值1
参数名2=参数值2
参数名3=参数值3
咱们能够再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。
即:
identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');
因而,最终传递的参数有:
参数名1=参数值1
参数名2=参数值2
参数名3=参数值3
client_id=client_id值
identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')
服务端接到参数后,再按相同的加密规则从新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,若是不相等,表示被窜改过,接下来怎么操做,本身看着办吧!
- 1. PHP开发移动端接口(加强版)
- 2. PHP开发移动端接口
- 3. 移动开发者快速上手php接口开发
- 4. php mysql APP接口 移动端接口API M-API 开源代码
- 5. php-app开发接口加密
- 6. PHP服务端开发APP接口
- 7. PHP 对接 支付宝 移动接口
- 8. 第118天:移动端开发——视口
- 9. 移动端与PHP服务端接口通讯流程设计(基础版)
- 10. 移动端开发
- 更多相关文章...
- • WSDL 端口 - WSDL 教程
- • Kotlin 接口 - Kotlin 教程
- • PHP开发工具
- • 算法总结-滑动窗口
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. PHP开发移动端接口(加强版)
- 2. PHP开发移动端接口
- 3. 移动开发者快速上手php接口开发
- 4. php mysql APP接口 移动端接口API M-API 开源代码
- 5. php-app开发接口加密
- 6. PHP服务端开发APP接口
- 7. PHP 对接 支付宝 移动接口
- 8. 第118天:移动端开发——视口
- 9. 移动端与PHP服务端接口通讯流程设计(基础版)
- 10. 移动端开发