文档章节

PHP开发移动端接口(增强版)

很不牛x
 很不牛x
发布于 2015/08/18 09:55
字数 750
阅读 207
收藏 5

前面讲过:移动端与PHP服务端接口通信流程设计(基础版)

对于 api_token 的校验,其安全性还可再增强:

 

增强地方一:

 

再增加2张表,一个接口表,一个授权表,设计参考如下:

接口表

字段名 字段类型 注释
api_id int 接口ID
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
api_domain varchar(255) 所属领域
is_enable tinyiny(1) 1可用,0不可用
add_time int 添加时间

(注:只列出了核心字段,其它的再扩展吧!!!)

 

授权表

字段名 字段类型 注释
client_id int 客户端ID
api_id int api编号
api_name varchar(120)
is_enabled tinyint(1) 是否可用  1:可用 0:不可用
add_time int 添加时间(戳)
expire_time int 过期时间(戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

 

执行过程如下:

1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;

2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;

 

增强地方二:

 

对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:

有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,

 

方案一:走https,这个就不多说,比较公认的安全机制;

方案二:走数字签名,实现原理如下:

 

一个http请求,假如需要传递如下3个参数

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

 

我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。

即:

identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');

于是,最终传递的参数有:

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

client_id=client_id值

identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')

 

服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!


本文转载自:http://blog.snsgou.com/post-767.html

共有 人打赏支持
很不牛x
粉丝 9
博文 30
码字总数 5351
作品 0
武汉
程序员
私信 提问
加载中

评论(3)

wolfag
wolfag

引用来自“很不牛x”的评论

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊

嗯嗯,懂你的意思了
很不牛x
很不牛x

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊
wolfag
wolfag
md5是不可逆的,加密方法是不是写错名字了?
移动端与PHP服务端接口通信流程设计(基础版)

移动端与PHP服务端接口通信流程设计(基础版) 针对 --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是...

蜗牛奔跑
2015/08/17
0
0
php&android做接口开发的AES加密安全?!

您好!做移动端接口开发,AES加解密,android客户端和php服务器端都保存有appSecretKey。但是如果有人对安卓反编译后获取到这个appSecretKey,再发起模拟请求,那传输层的数据还安全吗?...

风清扬-深圳
2015/12/04
365
2
飞特商城后台管理系统 1.0 发布,功能新增和改进

飞特,自由职业者,程序猿接私活利器,取之开源,用之开源 项目初衷 电商无论是小程序还是pc端,微信,都是私活中最常见的。希望打造一个优秀的商城项目,供大家参考。 后端是微服务框架spr...

18356087258
2018/07/05
1K
4
MyBatis与Hibernate区别

1、Hibernate与MyBatis简介 Hibernate是面向对象(POJO)的,其实现了POJO与数据库表之间的映射以及SQL 的自动生成和执行。 MyBatis是面向SQL的,主要实现POJO 与SQL之间的映射关系。 2、区别...

瓜子葫芦侠
2016/07/11
106
0
手机视频会议视频教学平台--ovmeet

ovmeet手机视频会议视频教学平台 这是一套完整的移动视频会议系统(全平台ovmeet视频开源) 1,包括服务端,开源基于red5, web客户端,手机客户端跨平台支持(IOS,android,黑莓) 调用代码(此...

ccall_cn
2014/06/25
9.5K
2

没有更多内容

加载失败,请刷新页面

加载更多

echarts实现中国地图

最近项目中有个需求:在地图上展示各省市的数据分布,像这样: 项目中接入的图表展示工具是echart,查了echart官网,发现并没有中国地图相关的实现,唯一接近的,只有香港18区人口密度。没办...

Funcy1122
16分钟前
0
0
持续集成工具Jenkins结合SVN的安装和使用

持续集成工具Jenkins结合SVN的安装和使用 2018年06月08日 11:30:23 止步前行 阅读数:2932 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zxd1435513775/ar...

linjin200
23分钟前
0
0
ES6 对象的解构赋值

基本用法 1.等号右边如果不是数组,将会报错(不是可遍历结构) 2.解构赋值 var, let, const命令声明均适用 3.set结构也可解构赋值(具有Iterator接口,可采用数组形式结构赋值) set解构:任何...

Jack088
25分钟前
0
0
微信小程序富文本table超出宽度处理

一、微信小程序富文本table超出宽度处理 处理思路: 使用正则删除table中的width属性。 //去除table的宽度content = content.replace(/<table[^>]*>/gi, function (match, capture) { ...

tianma3798
27分钟前
0
0
阿里云全站加速DCDN全面支持WebSocket协议

WebSocket协议可以为网站和应用提供真正的双向通信,具有控制开销、保持连接状态、更强实时性、更好的压缩效果等优点,是当下低延时应用最常采用的一种技术协议。为了更好的满足客户在实时通...

阿里云官方博客
28分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部