文档章节

PHP开发移动端接口(增强版)

很不牛x
 很不牛x
发布于 2015/08/18 09:55
字数 750
阅读 205
收藏 5

前面讲过:移动端与PHP服务端接口通信流程设计(基础版)

对于 api_token 的校验,其安全性还可再增强:

 

增强地方一:

 

再增加2张表,一个接口表,一个授权表,设计参考如下:

接口表

字段名 字段类型 注释
api_id int 接口ID
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
api_domain varchar(255) 所属领域
is_enable tinyiny(1) 1可用,0不可用
add_time int 添加时间

(注:只列出了核心字段,其它的再扩展吧!!!)

 

授权表

字段名 字段类型 注释
client_id int 客户端ID
api_id int api编号
api_name varchar(120)
is_enabled tinyint(1) 是否可用  1:可用 0:不可用
add_time int 添加时间(戳)
expire_time int 过期时间(戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

 

执行过程如下:

1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;

2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;

 

增强地方二:

 

对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:

有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,

 

方案一:走https,这个就不多说,比较公认的安全机制;

方案二:走数字签名,实现原理如下:

 

一个http请求,假如需要传递如下3个参数

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

 

我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。

即:

identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');

于是,最终传递的参数有:

 

参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

client_id=client_id值

identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')

 

服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!


本文转载自:http://blog.snsgou.com/post-767.html

共有 人打赏支持
很不牛x
粉丝 9
博文 30
码字总数 5351
作品 0
武汉
程序员
加载中

评论(3)

wolfag
wolfag

引用来自“很不牛x”的评论

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊

嗯嗯,懂你的意思了
很不牛x
很不牛x

引用来自“wolfag”的评论

md5是不可逆的,加密方法是不是写错名字了?
没有,不需要解密,校验时按规则自己加密然后比较啊
wolfag
wolfag
md5是不可逆的,加密方法是不是写错名字了?
移动端与PHP服务端接口通信流程设计(基础版)

移动端与PHP服务端接口通信流程设计(基础版) 针对 --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是...

蜗牛奔跑
2015/08/17
0
0
php&android做接口开发的AES加密安全?!

您好!做移动端接口开发,AES加解密,android客户端和php服务器端都保存有appSecretKey。但是如果有人对安卓反编译后获取到这个appSecretKey,再发起模拟请求,那传输层的数据还安全吗?...

风清扬-深圳
2015/12/04
339
2
MyBatis与Hibernate区别

1、Hibernate与MyBatis简介 Hibernate是面向对象(POJO)的,其实现了POJO与数据库表之间的映射以及SQL 的自动生成和执行。 MyBatis是面向SQL的,主要实现POJO 与SQL之间的映射关系。 2、区别...

瓜子葫芦侠
2016/07/11
106
0
手机视频会议视频教学平台--ovmeet

ovmeet手机视频会议视频教学平台 这是一套完整的移动视频会议系统(全平台ovmeet视频开源) 1,包括服务端,开源基于red5, web客户端,手机客户端跨平台支持(IOS,android,黑莓) 调用代码(此...

ccall_cn
2014/06/25
9.5K
2
iOS 移动端接口加密流程(包含单点登录和失效时间)

iOS 移动端接口加密流程(包含单点登录和失效时间) 最近换了工作,新公司的一套面试题是关于移动端接口加密流程,当时根据面试题画出了大概的 UML 类图,但是还有很多考虑不周的情况。接触到...

青青是老大要听青青话
2017/12/09
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Android WebView制作简易浏览器

最终效果 先创建一个WebView控件,其他的就是通过线性布局在上方加入网址输入框和两个按钮 <WebView android:id="@+id/act_webview_wv" android:layout_width="ma...

lanyu96
10分钟前
0
0
解决MacOS升级系统Sierra到Mojave后git报错

错误信息 升级MacOS Sierra到Mac Mojave后执行git命令报错: xcrun: error: invalid active developer path (/Library/Developer/CommandLineTools), missing xcrun at: /Library/Developer/......

阿dai
11分钟前
0
0
兄弟连区块链教程以太源码分析CMD深入分析(一)

cmd包分析 cmd下面总共有13个子包,除了util包之外,每个子包都有一个主函数,每个主函数的init方法中都定义了该主函数支持的命令,如 geth包下面的: func init() { // Initialize the...

兄弟连区块链入门教程
12分钟前
0
0
Titan Framework MongoDB深入理解1

在TitanFrameWork框架中,已经集成了MongoDB的各个功能,现在我们对框架内部的一些重要类进行分析与解读。 MongoDBConverter 在Titan框架中,比较重要的一个接口就是MongoDBConverter,它是作...

云季科技
17分钟前
0
0
SpringBoot集成Quartz

SpringBoot集成Quartz 什么是Quartz Quartz is a richly featured, open source job scheduling library that can be integrated within virtually any Java application - from the smalle......

Grittan
22分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部