>  기사  >  백엔드 개발  >  PHP 인터페이스의 토큰에 대한 자세한 설명

PHP 인터페이스의 토큰에 대한 자세한 설명

小云云
小云云원래의
2018-03-20 13:39:4411183검색


이 기사는 주로 PHP 인터페이스 토큰에 대한 자세한 설명을 공유하여 모든 사람에게 도움이 되기를 바랍니다. 먼저 인터페이스 기능 요약을 살펴보겠습니다.

인터페이스 기능 요약:

1. 모든 인터페이스는 비공개이므로 회사 내부 제품에만 유효합니다. 비공개 성적이므로 중간 사용자 인증 프로세스가 없기 때문에 OAuth 프로토콜을 사용할 수 없습니다.

4. 일부 인터페이스에는 액세스하려면 사용자 로그인이 필요합니다.

PHP Token

위의 특성을 볼 때 모바일 단말과 서버 간의 통신에는 2개의 키, 즉 2개의 토큰이 필요합니다.

첫 번째 토큰은 인터페이스(api_token)용입니다.

두 번째 토큰은 사용자(user_token)용입니다.


첫 번째 토큰(api_token)에 대해 먼저 이야기해 보겠습니다.

인터페이스에 대한 액세스를 유지하는 것입니다. 은폐성과 효율성을 통해 자신의 가족만이 인터페이스를 사용할 수 있습니다. 어떻게 해야 할까요? 참조 아이디어는 다음과 같습니다.
서버와 클라이언트가 공유하는 공통 속성을 기반으로 임의의 문자열을 생성합니다. 클라이언트는 이 문자열을 생성하고, 서버도 클라이언트의 문자열을 확인하기 위해 동일한 알고리즘을 기반으로 문자열을 생성합니다.

현재 인터페이스는 기본적으로 MVC 모드이며, URL은 기본적으로 Restful 스타일입니다. URL의 일반적인 형식은 다음과 같습니다.

http://blog.snsgou.com/모듈 이름/컨트롤러 이름/메서드 이름?매개변수 이름 1=매개변수 값 1&매개변수 이름 2 = 매개변수 값 2 & 매개변수 이름 3 = 매개변수 값 3

인터페이스 토큰 생성 규칙은 다음과 같습니다.

api_token = md5 ('모듈 이름' + '컨트롤러 이름' + '메서드 이름' + ' 2013-12-18' + '암호화 키') = 770fed4ca2aabd20ae9a5dd774711de2
여기서
1, '2013-12-18'은 시간,
2. '암호화 키'는 개인 암호화 키입니다. 서버 사용자 계정에 "인터페이스"를 등록해야 하며 시스템이 계정과 비밀번호를 할당합니다. 데이터 테이블 디자인 참조는 다음과 같습니다:
필드 이름 필드 유형 주석
client_id varchar(20) 클라이언트 ID
client_secret varchar( 20) 클라이언트(암호화) 키



서버 인터페이스 확인, PHP 구현 프로세스는 다음과 같습니다.

<?php   
// 1、获取 GET参数 值   
$module = $_GET[&#39;mod&#39;]; $controller = $_GET[&#39;ctl&#39;]   
$action = $_GET[&#39;act&#39;]; $client_id = $_GET[&#39;client_id&#39;];   
$api_token = $_GET[&#39;api_token‘];   
// 2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret   
$client_secret = getClientSecretById($client_id);   
// 3、服务端重新生成一份 api_token   
$api_token_server = md5($module . $controller . $action .  date(&#39;Y-m-d&#39;, time()) .  $client_secret);   
// 4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败   
if ($api_token != $api_token_server) {   
    exit(&#39;access deny&#39;);  // 拒绝访问 } // 5、验证通过,返回数据给客户端    
?>

두 번째 토큰(user_token)에 대해 이야기해 보겠습니다.

사용자의 사용자 이름과 비밀번호가 제출되지 않도록 보호하는 것이 책임입니다. 비밀번호 유출을 방지하기 위해 여러 번.

인터페이스에 사용자 로그인이 필요한 경우 액세스 프로세스는 다음과 같습니다.

1. 사용자는 로그인을 위해 "사용자 이름"과 "비밀번호"를 제출합니다(조건이 허용되는 경우 이 단계에서는 https를 사용하는 것이 가장 좋습니다).

2. 로그인에 성공하면 서버는 user_token을 반환합니다. 생성 규칙은 다음과 같습니다.

user_token = md5('user's uid' + 'Unix timestamp') = etye0fgkgk4ca2aabd20ae9a5dd77471fgf

서버는 user_token의 상태를 유지하기 위해 데이터 테이블을 사용합니다. 테이블 디자인은 다음과 같습니다.
필드 이름 필드 유형 주석
user_id int 사용자 ID
user_token varchar(36) 사용자 토큰
expire_time int 만료 시간(Unix 타임스탬프)


(참고: 핵심 필드만 나열됨, 기타 확장 가능!!!)


서버에 의해 생성 user_token이 클라이언트에 반환된 후(스토리지 자체) 클라이언트가 인터페이스를 요청할 때마다 인터페이스에 액세스하기 위해 사용자 로그인이 필요한 경우 user_id 및 user_token이 필요합니다. 서버가 이 두 매개변수를 받은 후 다음 단계를 수행해야 합니다.

1. api_token의 유효성을 확인합니다. 3. user_id, user_token을 기준으로 합니다. 테이블 레코드가 없으면 오류가 직접 반환됩니다. 레코드가 있으면 다음 단계로 진행합니다.

4. 지속적인 작업을 보장하기 위해 확장됩니다.

5. 인터페이스 데이터 반환


인터페이스 사용 예는 다음과 같습니다.


요청 방법: POST
POST 매개변수: title=나는 제목입니다&content=나는 내용입니다.
반환 데이터:

{       &#39;code&#39; => 1, 
// 1:成功 0:失败      
&#39;msg&#39; => &#39;操作成功&#39; 
// 登录失败、无权访问     
 &#39;data&#39; => []
 }


토큰 하이재킹을 방지하는 방법은 무엇입니까?

토큰 유출 문제는 분명히 있을 것입니다. 예를 들어, 귀하의 휴대폰을 받아 토큰을 복사하면 만료되기 전에 다른 곳에서 귀하로 로그인할 수 있습니다.
이 문제를 해결하는 간단한 방법
1. 저장할 때 토큰을 대칭적으로 암호화하여 저장한 다음 사용할 때 복호화합니다.
2. 요청 URL, 타임스탬프, 토큰을 결합하고 솔트 서명을 추가하면 서버가 유효성을 확인합니다.
두 가지 방법의 출발점은 저장된 데이터를 훔치는 것이 더 쉽지만, 프로그램을 분해하고 암호화, 암호 해독 및 서명 알고리즘을 해킹하는 것이 더 어렵다는 것입니다. 그러나 사실 어렵다고 하기엔 어렵지 않으니 결국 신사를 경계하는 것이지 악당을 경계하는 것이 아니다.

관련 권장 사항:

토큰을 구현하는 PHP의 인스턴스 메서드

앱 인터페이스 토큰에 대한 자세한 설명

WeChat 애플릿 URL 및 토큰 설정 방법

위 내용은 PHP 인터페이스의 토큰에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.