api介面驗證怎麼做 哪位大神指教一下

想做一個api介面

回覆內容：

想做一個api介面

很簡單，寫一個類別或方法能夠透過瀏覽器訪問，然後輸出返回對應資料即可，一般都是json格式

Api 驗證要考慮兩種情況，一是客戶端來的請求，二是其他服務發來的請求。

客戶端請求最簡單的就是控制好跨域訪問，主要是設定好Access-Control-Allow-Origin。

服務端驗證目前比較主流的想法就是給允許存取的服務一個 secret，要求對方依照一定規則產生 token，存取時帶上 token，在本地驗證。

具體產生 token 的規則就根據實際情況設計了，一般就是各種加密和編碼。

用 token 驗證即可。流程如下
1.客戶端先用帳號密碼請求登錄，登入成功產生隨機字串，寫入資料庫，並回傳給客戶端。
2.客戶端使用token請求受保護的資源
3.服務端使用token查找資料庫，如果有效，繼續請求，否則，返回401.

客戶端和服務端分別持有同一份公鑰key，同一套演算法，計算出sign簽名，這個簽章每次呼叫API的時候動態的計算出來並攜帶這，服務端在執行介面之前，拿到客戶端的參數也拿公鑰計算出簽名，每次對比簽名就行。