文档章节

PHP开发移动端接口(增强版)

很不牛x
 很不牛x
发布于 2015/08/18 09:55
字数 750
阅读 207
收藏 5

前面讲过:移动端与PHP服务端接口通信流程设计(基础版)

对于 api_token 的校验,其安全性还可再增强:

 

增强地方一:

 

再增加2张表,一个接口表,一个授权表,设计参考如下:

接口表

字段名 字段类型 注释
api_id int 接口ID
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
api_domain varchar(255) 所属领域
is_enable tinyiny(1) 1可用,0不可用
add_time int 添加时间

(注:只列出了核心字段,其它的再扩展吧!!!)

 

授权表

字段名 字段类型 注释
client_id int 客户端ID
api_id int api编号
api_name varchar(120)
is_enabled tinyint(1) 是否可用  1:可用 0:不可用
add_time int 添加时间(戳)
expire_time int 过期时间(戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

 

执行过程如下:

1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;

2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;

 

增强地方二:

 

对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:

有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,

 

方案一:走https,这个就不多说,比较公认的安全机制;

方案二:走数字签名,实现原理如下:

 

一个http请求,假如需要传递如下3个参数

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

 

我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。

即:

identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');

于是,最终传递的参数有:

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

client_id=client_id值

identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')

 

服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!


本文转载自:http://blog.snsgou.com/post-767.html

很不牛x
粉丝 9
博文 30
码字总数 5351
作品 0
武汉
程序员
私信 提问
加载中

评论(3)

wolfag
wolfag

引用来自“很不牛x”的评论

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊

嗯嗯,懂你的意思了
很不牛x
很不牛x 博主

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊
wolfag
wolfag
md5是不可逆的,加密方法是不是写错名字了?
移动端与PHP服务端接口通信流程设计(基础版)

移动端与PHP服务端接口通信流程设计(基础版) 针对 --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是...

蜗牛奔跑
2015/08/17
213
0
php&android做接口开发的AES加密安全?!

您好!做移动端接口开发,AES加解密,android客户端和php服务器端都保存有appSecretKey。但是如果有人对安卓反编译后获取到这个appSecretKey,再发起模拟请求,那传输层的数据还安全吗?...

风清扬-深圳
2015/12/04
404
2
飞特商城后台管理系统 1.0 发布,功能新增和改进

飞特,自由职业者,程序猿接私活利器,取之开源,用之开源 项目初衷 电商无论是小程序还是pc端,微信,都是私活中最常见的。希望打造一个优秀的商城项目,供大家参考。 后端是微服务框架spr...

18356087258
2018/07/05
2K
4
MyBatis与Hibernate区别

1、Hibernate与MyBatis简介 Hibernate是面向对象(POJO)的,其实现了POJO与数据库表之间的映射以及SQL 的自动生成和执行。 MyBatis是面向SQL的,主要实现POJO 与SQL之间的映射关系。 2、区别...

瓜子葫芦侠
2016/07/11
126
0
手机视频会议视频教学平台--ovmeet

ovmeet手机视频会议视频教学平台 这是一套完整的移动视频会议系统(全平台ovmeet视频开源) 1,包括服务端,开源基于red5, web客户端,手机客户端跨平台支持(IOS,android,黑莓) 调用代码(此...

ccall_cn
2014/06/25
11.5K
2

没有更多内容

加载失败,请刷新页面

加载更多

Replugin借助“UI进程”来快速释放Dex

public static boolean preload(PluginInfo pi) { if (pi == null) { return false; } // 借助“UI进程”来快速释放Dex(见PluginFastInstallProviderProxy的说明) return PluginFastInsta......

Gemini-Lin
今天
4
0
Hibernate 5 的模块/包(modules/artifacts)

Hibernate 的功能被拆分成一系列的模块/包(modules/artifacts),其目的是为了对依赖进行独立(模块化)。 模块名称 说明 hibernate-core 这个是 Hibernate 的主要(main (core))模块。定义...

honeymoose
今天
4
0
CSS--属性

一、溢出 当内容多,元素区域小的时候,就会产生溢出效果,默认是纵向溢出 横向溢出:在内容和容器之间再套一层容器,并且内部容器要比外部容器宽 属性:overflow/overflow-x/overflow-y 取值...

wytao1995
今天
4
0
精华帖

第一章 jQuery简介 jQuery是一个JavaScript库 jQuery具备简洁的语法和跨平台的兼容性 简化了JavaScript的操作。 在页面中引入jQuery jQuery是一个JavaScript脚本库,不需要特别的安装,只需要...

流川偑
今天
7
0
语音对话英语翻译在线翻译成中文哪个方法好用

想要进行将中文翻译成英文,或者将英文翻译成中文的操作,其实有一个非常简单的工具就能够帮助完成将语音进行翻译转换的软件。 在应用市场或者百度手机助手等各大应用渠道里面就能够找到一款...

401恶户
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部