앱 인터페이스 개발 과정에서 TP의 보안 검증 문제에 대해 이야기해보겠습니다.
- 藏色散人앞으로
- 2021-12-28 16:00:172862검색
다음 thinkphp프레임워크 튜토리얼 칼럼에서는 앱 인터페이스 개발 과정에서 Thinkphp의 통신 보안 인증 문제를 소개하겠습니다. 도움이 필요한 친구들에게 도움이 되길 바랍니다!
우리가 작성한 인터페이스가 보안 인증 없이 직접 접근할 수 있다면, 우리 웹사이트에 매우 큰 보안 위험이 발생할 수 있습니다. 일부 해커는 귀하의 인터페이스를 직접 사용하여 데이터베이스를 운영할 수 있으며 그 결과는 헤아릴 수 없습니다.
그렇다면 어떻게 효과적인 보안 검증을 수행할 수 있을까요?
여기에서는 WeChat 개발의 access_token 메커니즘을 사용하여 앱 프런트 엔드 개발 엔지니어가 appid 및 appsecert를 제출하여 토큰을 얻을 수 있도록 합니다. 클라이언트가 매번 토큰을 직접 요청하는 경우 서버는 7200초 동안 토큰을 캐시합니다. , 토큰은 매번 반복됩니다.
따라서 클라이언트는 로컬 토큰이 존재하는지 확인하는 것이 좋습니다. 토큰을 매개변수로 사용하여 액세스할 수 있습니다. 서버는 토큰의 유효성을 확인하고 그에 따라 반환합니다. 클라이언트가 캐시한 토큰이 유효하지 않으면 토큰을 직접 다시 요청하십시오. 전체 참조 코드는 다음과 같습니다. 더 나은 방법은 메시지를 남길 수도 있습니다
<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
public $appid = 'dmm888';
public $appsecret = 'http://cnblogs.com/dmm888';
public function index(){
$this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
}
public function test(){
if(!isset($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}else if(!S($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}
$data = array(
'id'=>2,
'username'=>'明之暗夜',
'info'=>array('age'=>24,'address'=>'学府路','url'=>'http://cnblogs.com/dmm888')
);
if($data){
$this->apiReturn(200,'读取用户信息成功',$data,xml);
}
}
public function getToken(){
$ori_str = S($this->appid.'_'.$this->appsecret); //这里appid和appsecret我写固定了,实际是通过客户端获取 所以这里我们可以做很多 比如判断appid和appsecret有效性等
if($ori_str){ //重新获取就把以前的token删除
S($ori_str,null);
}
//这里是token产生的机制 您也可以自己定义
$nonce = $this->createNoncestr(32);
$tmpArr = array($nonce,$this->appid,$this->appsecret);
sort($tmpArr, SORT_STRING);
$tmpStr = implode( $tmpArr );
$tmpStr = sha1( $tmpStr );
// echo $tmpStr;
//这里做了缓存 'a'=>b 和'b'=>a格式的缓存
S($this->appid.'_'.$this->appsecret,$tmpStr,7200);
S($tmpStr,$this->appid.'_'.$this->appsecret,7200);
}
/**
* 作用:产生随机字符串,不长于32位
*/
function createNoncestr( $length = 32 )
{
$chars = "abcdefghijklmnopqrstuvwxyz0123456789";
$str ="";
for ( $i = 0; $i < $length; $i++ ) {
$str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);
}
return $str;
}
}구체적인 인증 방법을 작성할 필요는 없습니다. 음, 이렇게 하면 앱 프론트엔드 개발자에게 appid와 appsecret만 제공하고 방법만 알려주면 됩니다. 토큰은 유일한 토큰이고 토큰이 유효한 경우에만 하향 실행이 가능하므로 보안이 보장됩니다.
추천 학습: "최신 10개 thinkphp 비디오 튜토리얼"
위 내용은 앱 인터페이스 개발 과정에서 TP의 보안 검증 문제에 대해 이야기해보겠습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!