Maison >développement back-end >tutoriel php >Explication détaillée du jeton dans l'interface php
1 Parce qu'elle est non ouverte, toutes les interfaces sont fermées et ne sont disponibles qu'à l'intérieur. l'entreprise. Le produit est valide ;
2. Parce qu'il n'est pas ouvert, le protocole OAuth n'est pas réalisable car il n'y a pas de processus d'autorisation utilisateur intermédiaire ;
3. pour se connecter pour accéder. ;
4. Certaines interfaces ne nécessitent pas de connexion utilisateur pour accéder ; La communication côté serveur nécessite 2 clés, à savoir 2 jetons.
Le premier jeton est pour l'interface (api_token) ;
Parlons d'abord du premier ; token (api_token)
Sa responsabilité est de maintenir la dissimulation et l'efficacité de l'accès à l'interface et de garantir que l'interface ne peut être utilisée que par sa propre famille. L'idée de référence est la suivante :
Générer une chaîne aléatoire basée sur les attributs communs partagés par le serveur et le client. Le client génère cette chaîne, et le serveur génère également une chaîne basée sur le même algorithme pour vérifier celle du client. chaîne.
api_token = md5 ('Nom du module' + 'Nom du contrôleur ' + 'Nom de la méthode' + '2013-12-18' + 'Encryption Key') = 770fed4ca2aabd20ae9a5dd774711de2
où
1, '2013-12-18' est l'heure de la journée,
2, « Clé de cryptage » est une clé de cryptage privée. Une fois que le téléphone mobile doit enregistrer un compte « utilisateur d'interface » sur le serveur, le système attribuera un compte et un mot de passe. La référence de conception de la table de données est la suivante :
Champ de nom de champ. tapez annotation
client_id varchar( 20) ID client
client_secret varchar(20) Clé client (chiffrement)
Vérification de l'interface du serveur, le processus d'implémentation PHP est le suivant :
Parlons du deuxième jeton (user_token)
<?php // 1、获取 GET参数 值 $module = $_GET['mod']; $controller = $_GET['ctl'] $action = $_GET['act']; $client_id = $_GET['client_id']; $api_token = $_GET['api_token‘]; // 2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret $client_secret = getClientSecretById($client_id); // 3、服务端重新生成一份 api_token $api_token_server = md5($module . $controller . $action . date('Y-m-d', time()) . $client_secret); // 4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败 if ($api_token != $api_token_server) { exit('access deny'); // 拒绝访问 } // 5、验证通过,返回数据给客户端 ?>1. L'utilisateur soumet le "nom d'utilisateur" et le "mot de passe" pour se connecter (si les conditions le permettent, il est préférable d'utiliser https pour cette étape) ;
Le serveur utilise une table de données pour conserver le statut de user_token , la conception de la table est la suivante :
Annotation du type de champ de nom de champ
user_id int ID utilisateur
user_token varchar(36) jeton utilisateur
expire_time int heure d'expiration (horodatage Unix)
(Remarque : seuls les champs principaux sont répertoriés, veuillez développer les autres !!!)
Une fois que le serveur a généré le user_token, il le renvoie au client (stockage par lui-même) et le client effectue chaque demande d'interface. Si l'interface nécessite une connexion utilisateur pour y accéder, user_id et user_token doivent être renvoyés au serveur. Après avoir reçu ces deux paramètres, le serveur doit effectuer l'opération. étapes suivantes :
1. Détecter la validité de la propriété api_token ; 2. Supprimer les enregistrements de table user_token expirés
3. l'enregistrement de la table n'existe pas, une erreur sera renvoyée directement. Si l'enregistrement existe, passez à l'étape suivante
4. période de validité sans être abandonné);
5. Renvoyer les données de l'interface
Les exemples d'utilisation de l'interface sont les suivants :
Méthode de requête : POST
Paramètres POST : title=Je suis le titre&content=Je suis le contenu
Comment empêcher le détournement de token ?
Il y aura certainement un problème de fuite de jetons. Par exemple, si je récupère votre téléphone portable et copie votre token, je peux me connecter sous votre nom ailleurs avant son expiration.
Un moyen simple de résoudre ce problème
1. Lors du stockage, cryptez symétriquement le jeton et stockez-le, puis déchiffrez-le lorsqu'il est utilisé.
2. Combinez l'URL de la demande, l'horodatage et le jeton et ajoutez une signature salt, et le serveur vérifiera la validité.
Le point de départ des deux méthodes est le suivant : il est plus facile de voler vos données stockées, mais il est plus difficile de démonter votre programme et de pirater vos algorithmes de cryptage, de décryptage et de signature. Cependant, il n'est en réalité pas difficile de dire que c'est difficile, donc après tout, il s'agit de se prémunir contre les messieurs et non contre les méchants.
Recommandations associées :
Méthode d'instance de PHP implémentant le jeton
Explication détaillée du jeton dans l'interface de l'application
Comment définir l'URL et le jeton de l'applet WeChat
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!