Die PHP-Serverseite verwendet die API-Prinzipanalyse

Dieses Mal werde ich Ihnen eine Analyse der Prinzipien der Verwendung von APIs auf der PHP-Serverseite bringen. Was sind die Vorsichtsmaßnahmen für die Verwendung von APIs auf der PHP-Serverseite? sehen.

Ich glaube, jeder hat eine PHP-Anforderungs-API-Schnittstelle zum Abrufen von Daten verwendet, z. B. die Taobao-API, die öffentliche WeChat-Plattform, Wetterabfragen, Express-Abfragen usw. Einige von ihnen müssen auf das Schnittstellendokument verweisen, um ein Zeichen gemäß dem Signaturalgorithmus zu erstellen. oder legen Sie das Token fest und senden Sie es dann über Curl. POST-Anfrage bringt Parameter zum Abrufen von Rückgabedaten, normalerweise im JSON- oder XML-Format.

Aber jetzt ist die Situation umgekehrt. Wir müssen eine serverseitige PHP-API-Schnittstelle entwickeln, das heißt, wenn andere uns anfordern, überprüfen wir die Legitimität der Anfrage und geben die Abfragedaten zurück.

Diese Situation wird tatsächlich bei der Entwicklung mobiler Apps verwendet, um Daten über die PHP-Schnittstelle abzurufen. In der Regel werden jedoch unterschiedliche URLs angefordert in der Get-Methode und erhalten Sie direkt Daten.

In diesem Artikel wird kurz auf die serverseitige Methode zur Überprüfung der Legitimität der Anfrage und die Methode zum Empfangen von Parametern eingegangen.

Einfache Get-AnfrageZum Beispiel: http://www.demo.com/api/get_cat?id=2, wenn Sie diese URL anfordern, werden einige Daten zurückgegeben, unabhängig davon, wer welcheProgrammierspracheAnfragen können Daten abrufen.

Dies ist also offensichtlich nicht möglich, wenn die Rechtmäßigkeit überprüft werden muss. Daher ist derzeit ein geheimer Schlüssel erforderlich, um die URL anzufordern.

Beispielsweise gibt es in den übergebenen Parametern ein Signaturzeichen und der Wert ist 98888. Natürlich gibt es viele Möglichkeiten, das Zeichen zu generieren, und es kann nicht so einfach sein, es einfach hier zu schreiben. Dann empfängt der Server das Zeichen als 98888. Wenn wir zustimmen, dass 98888 legal ist, können Sie zu diesem Zeitpunkt überprüfen, ob es sich um eine legitime Anfrage handelt, indem Sie beurteilen, ob das Zeichen 98888 ist.

Aber das ist zu einfach, es wird plötzlich geknackt und das Setzen dieses Zeichens wird bedeutungslos sein. Daher muss es eine Regel zum Generieren von Zeichen geben. Wenn der Server sie empfängt, generiert er auch Zeichen gemäß dieser Regel ist eine rechtliche Anfrage. Jeder Anfrage wird zur Überprüfung ein Zeichen beigefügt.

Es gibt eine andere Art der Überprüfung, die als Token bezeichnet wird. Die Überprüfung des Tokens erfolgt bei der ersten Anfrage. Eine erneute Überprüfung ist innerhalb einer bestimmten Zeitspanne nicht erforderlich. Dazu sind zwei Schritte erforderlich. Der erste Schritt besteht darin, die Schnittstelle zum Abrufen des Tokens anzufordern. Der zweite Schritt besteht darin, die Funktion der spezifischen Schnittstelle anzufordern, und Sie müssen das Token zum Übergeben von Parametern bringen. Da der Server bei der ersten Anforderung des Tokens das Token zunächst speichert und dann zurückgibt, kann bei nachfolgenden Anfragen überprüft werden, ob das übergebene Token existiert.

Viele Schnittstellenentwickler verwenden beide Methoden, um Datenschutz und Sicherheit zu gewährleisten.

Ein weiterer Punkt ist, dass das CURL-Modul von PHP häufig zum Senden von POST-Anfragen verwendet wird. Beispielsweise sendet die andere Partei eine POST-Anfrage über curl, curl_setopt($ch, CURLOPT_POSTFIELDS, $post_string), sollte $post_string hier besser im PHP-Array oder im JSON-Format übergeben werden?

Wenn es sich um ein PHP-Array handelt, erhalte ich die Parameter direkt mit $_POST['xx']. Wenn es ein JSON-Format ist, verwende ich anscheinend

file_get_contents('php://input', ' r ') Rufen Sie die übergebenen JSON-Daten ab und analysieren Sie dann den JSON, um die Parameter zu erhalten.

Wann sollte die zweite Option genutzt werden?

Diese Frage wurde schon einmal online gestellt, mal sehen, wie alle geantwortet haben:

Bei PHP besteht der Unterschied zwischen JSON und Array manchmal nur aus einer Codezeile. Wenn ich schreibe, verwende ich möglicherweise nur die erste.

Ich denke, wenn Sie möchten, dass Ihr Code prägnanter ist, können Sie das zweite verwenden. Ich erinnere mich, dass das PHP-SDK von Weixin dem zweiten zu ähneln scheint (natürlich im XML-Format)

Wenn die andere Partei außerdem

Objektorientiert verwendet, um JSON direkt zu serialisieren, wird der Code durch die Verwendung von JSON prägnanter.

Die erste Methode besteht darin, das Formular-POST-Protokoll zu übertragen. PHP konvertiert das PHP-Array in das HTTP-Formularformat, das für alle Sprachen universell ist, aber keine Mainstream-API ist . Protokoll, aber eher wie die Simulation der Formularübermittlung.

Die meisten API-Protokolle verwenden JSON POST. Die zweite Methode besteht darin, JSON-Daten in den HTTP-Body einzufügen. Auch sprachübergreifend, aber benutzerfreundlicher als API. Die erste Methode ist die direkte Verwendung von PHP Curl. Wenn der Dateninhalt nicht gut verarbeitet wird und Inhalte wie @/xxx/xxx im Array-Wert übergeben werden, überträgt Curl die lokale Datei auf den Server. Seien Sie also vorsichtig.

x-www-form-urlencoded ist ein RFC-Standard, es gibt nichts Inkompatibles, es ist nicht nur sprachübergreifend, sondern auch über Zeit und Raum hinweg. JSON wurde in den letzten Jahren entwickelt. Es handelt sich nicht um einen Standard, sondern lediglich um der Bequemlichkeit halber.

Ich glaube, dass Sie die Methode beherrschen, nachdem Sie den Fall in diesem Artikel gelesen haben. Weitere spannende Informationen finden Sie in anderen verwandten Artikeln auf der chinesischen PHP-Website!

Empfohlene Lektüre:

Anacondas Einsteigerhandbuch

Pythons Umgebungskonfigurationsanalyse

Das obige ist der detaillierte Inhalt vonDie PHP-Serverseite verwendet die API-Prinzipanalyse. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!