Maison >développement back-end >tutoriel php >给app做的api接口如何保证用户的合法性?

给app做的api接口如何保证用户的合法性?

WBOY
WBOYoriginal
2016-06-06 20:43:431247parcourir

我在google上面搜索了一些针对app的用户认证方案,也对比过传统PC时代的cookie认证,觉得都不太合理,我想到一个方案,不知道是否合理?

需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。

大概的流程如下:

  1. 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
<code>{
    “user_id”:”123123123” ,
    “access_token”:”accesstokenstrng”,
    “platform”:”qq”,
    “platform_name”:”xxx”,
}
</code>

2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。

6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。

这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?

可能重复的问题:用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

回复内容:

我在google上面搜索了一些针对app的用户认证方案,也对比过传统PC时代的cookie认证,觉得都不太合理,我想到一个方案,不知道是否合理?

需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。

大概的流程如下:

  1. 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
<code>{
    “user_id”:”123123123” ,
    “access_token”:”accesstokenstrng”,
    “platform”:”qq”,
    “platform_name”:”xxx”,
}
</code>

2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。

6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。

这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?

可能重复的问题:用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn