聊聊TP在app介面開發過程中的安全驗證問題
- 藏色散人轉載
- 2021-12-28 16:00:172750瀏覽
下面thinkphp框架教學欄位將介紹給大家關於Thinkphp在app介面開發過程中通訊安全的認證問題,希望對需要的朋友有幫助!
對於我們寫好的接口,如果不經過安全認證就可以直接訪問的話,則將對我們網站產生非常大的安全隱患,一些hack可能直接用你的接口去操作數據庫,後果無法估量。
那麼要如何進行有效的安全驗證呢?
這裡採用了微信開發中的access_token機制,讓app前端開發工程師透過提交appid和appsecert來獲取token,伺服器端對token快取7200秒,客戶端如果每次都直接請求token則token每次都會重置;
所以推薦客戶端也一樣進行緩存,客戶端可以透過判斷本地token是否存在,如果存在則直接用token做參數去訪問我們的api,服務端判斷token的有效性並給予相應的返回,客戶端緩存的token如果失效了,就直接再請求獲取token,思路大概就是這樣,下面提供了完整的參考代碼,如果有更好的方法,也可留言
show(' :)
欢迎使用 ThinkPHP!
[ 您现在访问的是Home模块的Index控制器 ]','utf-8');
}
public function test(){
if(!isset($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}else if(!S($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}
$data = array(
'id'=>2,
'username'=>'明之暗夜',
'info'=>array('age'=>24,'address'=>'学府路','url'=>'http://cnblogs.com/dmm888')
);
if($data){
$this->apiReturn(200,'读取用户信息成功',$data,xml);
}
}
public function getToken(){
$ori_str = S($this->appid.'_'.$this->appsecret); //这里appid和appsecret我写固定了,实际是通过客户端获取 所以这里我们可以做很多 比如判断appid和appsecret有效性等
if($ori_str){ //重新获取就把以前的token删除
S($ori_str,null);
}
//这里是token产生的机制 您也可以自己定义
$nonce = $this->createNoncestr(32);
$tmpArr = array($nonce,$this->appid,$this->appsecret);
sort($tmpArr, SORT_STRING);
$tmpStr = implode( $tmpArr );
$tmpStr = sha1( $tmpStr );
// echo $tmpStr;
//这里做了缓存 'a'=>b 和'b'=>a格式的缓存
S($this->appid.'_'.$this->appsecret,$tmpStr,7200);
S($tmpStr,$this->appid.'_'.$this->appsecret,7200);
}
/**
* 作用:产生随机字符串,不长于32位
*/
function createNoncestr( $length = 32 )
{
$chars = "abcdefghijklmnopqrstuvwxyz0123456789";
$str ="";
for ( $i = 0; $i < $length; $i++ ) {
$str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);
}
return $str;
}
}具體怎麼驗證我就不用寫了吧,這樣我們只需把appid和appsecret給app前端開發者並告訴他怎麼用就可以了token就是唯一令牌只有token有效才可以向下執行從而安全性可以得到一定保證。
推薦學習:《最新的10個thinkphp影片教學》
以上是聊聊TP在app介面開發過程中的安全驗證問題的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文轉載於:juejin.im。如有侵權,請聯絡admin@php.cn刪除