文档章节

PHP开发移动端接口(增强版)

很不牛x
 很不牛x
发布于 2015/08/18 09:55
字数 750
阅读 205
收藏 5

前面讲过:移动端与PHP服务端接口通信流程设计(基础版)

对于 api_token 的校验,其安全性还可再增强:

 

增强地方一:

 

再增加2张表,一个接口表,一个授权表,设计参考如下:

接口表

字段名 字段类型 注释
api_id int 接口ID
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
api_domain varchar(255) 所属领域
is_enable tinyiny(1) 1可用,0不可用
add_time int 添加时间

(注:只列出了核心字段,其它的再扩展吧!!!)

 

授权表

字段名 字段类型 注释
client_id int 客户端ID
api_id int api编号
api_name varchar(120)
is_enabled tinyint(1) 是否可用  1:可用 0:不可用
add_time int 添加时间(戳)
expire_time int 过期时间(戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

 

执行过程如下:

1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;

2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;

 

增强地方二:

 

对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:

有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,

 

方案一:走https,这个就不多说,比较公认的安全机制;

方案二:走数字签名,实现原理如下:

 

一个http请求,假如需要传递如下3个参数

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

 

我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。

即:

identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');

于是,最终传递的参数有:

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

client_id=client_id值

identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')

 

服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!


本文转载自:http://blog.snsgou.com/post-767.html

共有 人打赏支持
很不牛x
粉丝 10
博文 30
码字总数 5351
作品 0
武汉
程序员
加载中

评论(3)

wolfag
wolfag

引用来自“很不牛x”的评论

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊

嗯嗯,懂你的意思了
很不牛x
很不牛x

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊
wolfag
wolfag
md5是不可逆的,加密方法是不是写错名字了?
移动端与PHP服务端接口通信流程设计(基础版)

移动端与PHP服务端接口通信流程设计(基础版) 针对 --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是...

蜗牛奔跑
2015/08/17
0
0
php&android做接口开发的AES加密安全?!

您好!做移动端接口开发,AES加解密,android客户端和php服务器端都保存有appSecretKey。但是如果有人对安卓反编译后获取到这个appSecretKey,再发起模拟请求,那传输层的数据还安全吗?...

风清扬-深圳
2015/12/04
339
2
MyBatis与Hibernate区别

1、Hibernate与MyBatis简介 Hibernate是面向对象(POJO)的,其实现了POJO与数据库表之间的映射以及SQL 的自动生成和执行。 MyBatis是面向SQL的,主要实现POJO 与SQL之间的映射关系。 2、区别...

瓜子葫芦侠
2016/07/11
106
0
手机视频会议视频教学平台--ovmeet

ovmeet手机视频会议视频教学平台 这是一套完整的移动视频会议系统(全平台ovmeet视频开源) 1,包括服务端,开源基于red5, web客户端,手机客户端跨平台支持(IOS,android,黑莓) 调用代码(此...

ccall_cn
2014/06/25
9.5K
2
采用ThinkPHP开发腾讯分分彩极速玩法游戏源码下载搭建架设

腾讯分分彩极速玩法架设源码教程:Q:2947702644 【游戏特色】 运行环境:WIN+APACHE+PHP5.4+MYSQL5.6+伪静态 源码授权:无加密文件及认证授权,永久性可直接使用。 版本支持:PC/WAP网页版 ...

raye1
07/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

arts-week5

Algorithm 824. Goat Latin - LeetCode 152. Maximum Product Subarray - LeetCode 110. Balanced Binary Tree - LeetCode 67. Two Sum II - Input array is sorted - LeetCode 665. Non-dec......

yysue
14分钟前
0
0
iOS开发之AddressBook框架详解

iOS开发之AddressBook框架详解 一、写在前面 首先,AddressBook框架是一个已经过时的框架,iOS9之后官方提供了Contacts框架来进行用户通讯录相关操作。尽管如此,AddressBook框架依然是一个非...

珲少
43分钟前
1
0
两年摸爬滚打 Spring Boot,总结了这 16 条最佳实践

Spring Boot是最流行的用于开发微服务的Java框架。在本文中,我将与你分享自2016年以来我在专业开发中使用Spring Boot所采用的最佳实践。这些内容是基于我的个人经验和一些熟知的Spring Boot...

Java填坑之路
今天
3
0
《Spring5学习》04 - 面向切面编程

一、Spring面向切面编程的基本概念 面向切面编程(即AOP):把项目中需要再多处使用的功能比如日志、安全和事务等集中到一个类中处理,而不用在每个需要用到该功能的地方显式调用。 横切关注...

老韭菜
今天
2
0
day61-20180819-流利阅读笔记

跑道没了,它们还在跑:澳门赛狗业的遗孤 Daniel 2018-08-19 1.今日导读 相信你早就知道香港有个赛马会,可是你听说过香港的邻居澳门原本有个赛狗会吗?其实,对于澳门人来说,赛狗这项活动历...

aibinxiao
今天
15
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部