该网站已经工信部认证联盟认证为可信网站,请放心访问
我们的口号:用最便宜的钱,做最好的网站。
了解详情>
网站安全检测
身份证明信息
ICP备案审查
工商登记信息
业务资质许可
网站信用信息

新闻中心

专业专注专心,行业行情行规
分享交流,永无止境,我们愿与您共同进步

thinkphp在app接口开发过程中的通讯安全认证

发布日期:[2018/11/27]    编辑:admin

对于我们写好的接口,如果不经过安全认证就可以直接访问的话,则将对我们网站产生非常大的安全隐患,一些hack可能直接用你的接口去操作数据库,后果无法估量。那么如何才能进行有效的安全验证呢? 这里我采用了微信开发中的access_token机制,让app前端开发工程师通过提交appid和appsecert来获取token,服务器端对token缓存7200秒,客户端如果每次都直接请求token则token每次都会重置,所以推荐客户端也一样进行缓存,客户端可以通过判断本地token是否存在,如果存在则直接用token做参数去访问我们的api,服务端判断token的有效性并给予相应的返回,客户端缓存的token如果失效了,就直接再请求获取token,思路大概就是这样,下面我提供了完整的参考代码,如果有更好的方法,也请指教

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public $appid = 'dmm888';    
    public $appsecret = 'http://cnblogs.com/dmm888';
    
    public function index(){
        $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; 
        font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } 
        p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p>
        <br/>[ 您现在访问的是Home模块的Index控制器 ]</div>
        <script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
    }
    public function  test(){
        if(!isset($_GET['token'])){
            $this->apiReturn(4001,'invalid token');
        }else if(!S($_GET['token'])){            
            $this->apiReturn(4001,'invalid token');
            
        }

 
        $data = array(
            'id'=>2,
            'username'=>'明之暗夜',
            'info'=>array('age'=>24,'address'=>'学府路','url'=>'http://cnblogs.com/dmm888')
        );
        if($data){
            $this->apiReturn(200,'读取用户信息成功',$data,xml);
        }


    }

    public function getToken(){
        $ori_str = S($this->appid.'_'.$this->appsecret);   //这里appid和appsecret我写固定了,实际是通过客户端获取  
        所以这里我们可以做很多 比如判断appid和appsecret有效性等
        if($ori_str){       //重新获取就把以前的token删除
            S($ori_str,null);
        }

        //这里是token产生的机制  您也可以自己定义
        $nonce = $this->createNoncestr(32);
        $tmpArr = array($nonce,$this->appid,$this->appsecret);

        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );
        // echo $tmpStr;
        //这里做了缓存 'a'=>b 和'b'=>a格式的缓存
        S($this->appid.'_'.$this->appsecret,$tmpStr,7200);  
        S($tmpStr,$this->appid.'_'.$this->appsecret,7200);

    }

     /**
     *  作用:产生随机字符串,不长于32位
     */
     function createNoncestr( $length = 32 ) 
    {
        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";  
        $str ="";
        for ( $i = 0; $i < $length; $i++ )  {  
            $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);  
        }  
        return $str;
    }     
}


上一篇:WEB前后端分离开发中的验证与安全问题

返回列表

下一篇:php的api接口

  • 2018-11-22 什么样的网站建设内容适合现在的搜索引擎和用户...
  • 2018-11-22 新网站刚优化的时候进入沙盒期该怎么办...
  • 2018-11-22 还在用传统型网站?你的网站是时候转型了...
  • 2018-11-22 网站建设后如何优化URL链接...
  • 2019-01-30 域名可以登记经营场所,快看是怎么回事!...
  • 2018-11-22 网站建设完成后为什么百度不收录网站...
  • 2019-02-18 自定义微信小程序标题栏...
  • 2019-02-15 给大家介绍一个好用的前端框架,亲自体验过。...
  • 2019-03-06 Node.js安装及环境配置之Windows篇...
  • 2019-03-06 Node.js安装及环境配置之Windows篇...
  • 2019-02-18 自定义微信小程序标题栏...
  • 2019-02-15 给大家介绍一个好用的前端框架,亲自体验过。...
  • 2019-01-30 域名可以登记经营场所,快看是怎么回事!...
  • 2018-12-19 【网站建设】公众号拉新的五种姿势...
  • 2018-12-19 【广州网站建设】建设网站用哪种语言比较好?...
  • 2018-11-27 php api接口安全设计 sign...
  • 2018-11-27 PHP做APP接口时,如何保证接口的安全性...
  • 2018-11-27 定制网站设计的流程是什么样的?...
  • 2018-11-27 会给我们提交多少方案供选择,如果方案不满意怎...
  • 或者将本文《thinkphp在app接口开发过程中的通讯安全认证》
    复制本文《thinkphp在app接口开发过程中的通讯安全认证》地址给好友: