>  기사  >  PHP 프레임워크  >  앱 인터페이스 개발 과정에서 TP의 보안 검증 문제에 대해 이야기해보겠습니다.

앱 인터페이스 개발 과정에서 TP의 보안 검증 문제에 대해 이야기해보겠습니다.

藏色散人
藏色散人앞으로
2021-12-28 16:00:172901검색

다음 thinkphp프레임워크 튜토리얼 칼럼에서는 앱 인터페이스 개발 과정에서 Thinkphp의 통신 보안 인증 문제를 소개하겠습니다. 도움이 필요한 친구들에게 도움이 되길 바랍니다!

우리가 작성한 인터페이스가 보안 인증 없이 직접 접근할 수 있다면, 우리 웹사이트에 매우 큰 보안 위험이 발생할 수 있습니다. 일부 해커는 귀하의 인터페이스를 직접 사용하여 데이터베이스를 운영할 수 있으며 그 결과는 헤아릴 수 없습니다.

그렇다면 어떻게 효과적인 보안 검증을 수행할 수 있을까요?

여기에서는 WeChat 개발의 access_token 메커니즘을 사용하여 앱 프런트 엔드 개발 엔지니어가 appid 및 appsecert를 제출하여 토큰을 얻을 수 있도록 합니다. 클라이언트가 매번 토큰을 직접 요청하는 경우 서버는 7200초 동안 토큰을 캐시합니다. , 토큰은 매번 반복됩니다.

따라서 클라이언트는 로컬 토큰이 존재하는지 확인하는 것이 좋습니다. 토큰을 매개변수로 사용하여 액세스할 수 있습니다. 서버는 토큰의 유효성을 확인하고 그에 따라 반환합니다. 클라이언트가 캐시한 토큰이 유효하지 않으면 토큰을 직접 다시 요청하십시오. 전체 참조 코드는 다음과 같습니다. 더 나은 방법은 메시지를 남길 수도 있습니다

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public $appid = &#39;dmm888&#39;;    
    public $appsecret = &#39;http://cnblogs.com/dmm888&#39;;
    
    public function index(){
        $this->show(&#39;<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>&#39;,&#39;utf-8&#39;);
    }
    public function  test(){
        if(!isset($_GET[&#39;token&#39;])){
            $this->apiReturn(4001,&#39;invalid token&#39;);
        }else if(!S($_GET[&#39;token&#39;])){            
            $this->apiReturn(4001,&#39;invalid token&#39;);
            
        }
 
        $data = array(
            &#39;id&#39;=>2,
            &#39;username&#39;=>&#39;明之暗夜&#39;,
            &#39;info&#39;=>array(&#39;age&#39;=>24,&#39;address&#39;=>&#39;学府路&#39;,&#39;url&#39;=>&#39;http://cnblogs.com/dmm888&#39;)
        );
        if($data){
            $this->apiReturn(200,&#39;读取用户信息成功&#39;,$data,xml);
        }
    }
    public function getToken(){
        $ori_str = S($this->appid.&#39;_&#39;.$this->appsecret);   //这里appid和appsecret我写固定了,实际是通过客户端获取  所以这里我们可以做很多 比如判断appid和appsecret有效性等
        if($ori_str){       //重新获取就把以前的token删除
            S($ori_str,null);
        }
        //这里是token产生的机制  您也可以自己定义
        $nonce = $this->createNoncestr(32);
        $tmpArr = array($nonce,$this->appid,$this->appsecret);
        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );
        // echo $tmpStr;
        //这里做了缓存 &#39;a&#39;=>b 和&#39;b&#39;=>a格式的缓存
        S($this->appid.&#39;_&#39;.$this->appsecret,$tmpStr,7200);  
        S($tmpStr,$this->appid.&#39;_&#39;.$this->appsecret,7200);
    }
     /**
     *  作用:产生随机字符串,不长于32位
     */
     function createNoncestr( $length = 32 ) 
    {
        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";  
        $str ="";
        for ( $i = 0; $i < $length; $i++ )  {  
            $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);  
        }  
        return $str;
    }     
}

구체적인 인증 방법을 작성할 필요는 없습니다. 음, 이렇게 하면 앱 프론트엔드 개발자에게 appid와 appsecret만 제공하고 방법만 알려주면 됩니다. 토큰은 유일한 토큰이고 토큰이 유효한 경우에만 하향 실행이 가능하므로 보안이 보장됩니다.

추천 학습: "최신 10개 thinkphp 비디오 튜토리얼"

위 내용은 앱 인터페이스 개발 과정에서 TP의 보안 검증 문제에 대해 이야기해보겠습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 juejin.im에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제