下面thinkphp框架教程欄目將給大家介紹關于thinkphp在app接口開發過程中的通訊安全認證問題,希望對需要的朋友有所幫助!
對于我們寫好的接口,如果不經過安全認證就可以直接訪問的話,則將對我們網站產生非常大的安全隱患,一些hack可能直接用你的接口去操作數據庫,后果無法估量。
那么如何才能進行有效的安全驗證呢?
這里采用了微信開發中的access_token機制,讓app前端開發工程師通過提交appid和appsecert來獲取token,服務器端對token緩存7200秒,客戶端如果每次都直接請求token則token每次都會重置;
所以推薦客戶端也一樣進行緩存,客戶端可以通過判斷本地token是否存在,如果存在則直接用token做參數去訪問我們的api,服務端判斷token的有效性并給予相應的返回,客戶端緩存的token如果失效了,就直接再請求獲取token,思路大概就是這樣,下面提供了完整的參考代碼,如果有更好的方法,也可留言
<?php namespace HomeController; use ThinkController; class IndexController extends Controller { public $appid = 'dmm888'; public $appsecret = 'http://cnblogs.com/dmm888'; public function index(){ $this->show('<style>*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微軟雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div>?<h1>:)</h1> <p>歡迎使用?<b>ThinkPHP</b>!</p> <br>[?您現在訪問的是Home模塊的Index控制器?]</div><script></script>','utf-8'); ????} ????public?function??test(){ ????????if(!isset($_GET['token'])){ ????????????$this->apiReturn(4001,'invalid?token'); ????????}else?if(!S($_GET['token'])){???????????? ????????????$this->apiReturn(4001,'invalid?token'); ???????????? ????????} ? ????????$data?=?array( ????????????'id'=>2, ????????????'username'=>'明之暗夜', ????????????'info'=>array('age'=>24,'address'=>'學府路','url'=>'http://cnblogs.com/dmm888') ????????); ????????if($data){ ????????????$this->apiReturn(200,'讀取用戶信息成功',$data,xml); ????????} ????} ????public?function?getToken(){ ????????$ori_str?=?S($this->appid.'_'.$this->appsecret);???//這里appid和appsecret我寫固定了,實際是通過客戶端獲取??所以這里我們可以做很多?比如判斷appid和appsecret有效性等 ????????if($ori_str){???????//重新獲取就把以前的token刪除 ????????????S($ori_str,null); ????????} ????????//這里是token產生的機制??您也可以自己定義 ????????$nonce?=?$this->createNoncestr(32); ????????$tmpArr?=?array($nonce,$this->appid,$this->appsecret); ????????sort($tmpArr,?SORT_STRING); ????????$tmpStr?=?implode(?$tmpArr?); ????????$tmpStr?=?sha1(?$tmpStr?); ????????//?echo?$tmpStr; ????????//這里做了緩存?'a'=>b?和'b'=>a格式的緩存 ????????S($this->appid.'_'.$this->appsecret,$tmpStr,7200);?? ????????S($tmpStr,$this->appid.'_'.$this->appsecret,7200); ????} ?????/** ?????*??作用:產生隨機字符串,不長于32位 ?????*/ ?????function?createNoncestr(?$length?=?32?)? ????{ ????????$chars?=?"abcdefghijklmnopqrstuvwxyz0123456789";?? ????????$str?=""; ????????for?(?$i?=?0;?$i?<p>具體怎么驗證我就不用寫了吧,這樣我們只需把appid和appsecret給app前端開發者 并告訴他怎么用就可以了 token就是唯一令牌 只有token有效才可以向下執行 從而安全性可以得到一定保證 。</p><blockquote>推薦學習:《最新的10個thinkphp視頻教程》</blockquote>
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END