首頁  >  文章  >  php框架  >  聊聊TP在app介面開發過程中的安全驗證問題

聊聊TP在app介面開發過程中的安全驗證問題

藏色散人
藏色散人轉載
2021-12-28 16:00:172917瀏覽

下面thinkphp框架教學欄位將介紹給大家關於Thinkphp在app介面開發過程中通訊安全的認證問題,希望對需要的朋友有幫助!

對於我們寫好的接口,如果不經過安全認證就可以直接訪問的話,則將對我們網站產生非常大的安全隱患,一些hack可能直接用你的接口去操作數據庫,後果無法估量。

那麼要如何進行有效的安全驗證呢?

這裡採用了微信開發中的access_token機制,讓app前端開發工程師透過提交appid和appsecert來獲取token,伺服器端對token快取7200秒,客戶端如果每次都直接請求token則token每次都會重置;

所以推薦客戶端也一樣進行緩存,客戶端可以透過判斷本地token是否存在,如果存在則直接用token做參數去訪問我們的api,服務端判斷token的有效性並給予相應的返回,客戶端緩存的token如果失效了,就直接再請求獲取token,思路大概就是這樣,下面提供了完整的參考代碼,如果有更好的方法,也可留言

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public $appid = &#39;dmm888&#39;;    
    public $appsecret = &#39;http://cnblogs.com/dmm888&#39;;
    
    public function index(){
        $this->show(&#39;<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>&#39;,&#39;utf-8&#39;);
    }
    public function  test(){
        if(!isset($_GET[&#39;token&#39;])){
            $this->apiReturn(4001,&#39;invalid token&#39;);
        }else if(!S($_GET[&#39;token&#39;])){            
            $this->apiReturn(4001,&#39;invalid token&#39;);
            
        }
 
        $data = array(
            &#39;id&#39;=>2,
            &#39;username&#39;=>&#39;明之暗夜&#39;,
            &#39;info&#39;=>array(&#39;age&#39;=>24,&#39;address&#39;=>&#39;学府路&#39;,&#39;url&#39;=>&#39;http://cnblogs.com/dmm888&#39;)
        );
        if($data){
            $this->apiReturn(200,&#39;读取用户信息成功&#39;,$data,xml);
        }
    }
    public function getToken(){
        $ori_str = S($this->appid.&#39;_&#39;.$this->appsecret);   //这里appid和appsecret我写固定了,实际是通过客户端获取  所以这里我们可以做很多 比如判断appid和appsecret有效性等
        if($ori_str){       //重新获取就把以前的token删除
            S($ori_str,null);
        }
        //这里是token产生的机制  您也可以自己定义
        $nonce = $this->createNoncestr(32);
        $tmpArr = array($nonce,$this->appid,$this->appsecret);
        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );
        // echo $tmpStr;
        //这里做了缓存 &#39;a&#39;=>b 和&#39;b&#39;=>a格式的缓存
        S($this->appid.&#39;_&#39;.$this->appsecret,$tmpStr,7200);  
        S($tmpStr,$this->appid.&#39;_&#39;.$this->appsecret,7200);
    }
     /**
     *  作用:产生随机字符串,不长于32位
     */
     function createNoncestr( $length = 32 ) 
    {
        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";  
        $str ="";
        for ( $i = 0; $i < $length; $i++ )  {  
            $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);  
        }  
        return $str;
    }     
}

具體怎麼驗證我就不用寫了吧,這樣我們只需把appid和appsecret給app前端開發者並告訴他怎麼用就可以了token就是唯一令牌只有token有效才可以向下執行從而安全性可以得到一定保證。

推薦學習:《最新的10個thinkphp影片教學

以上是聊聊TP在app介面開發過程中的安全驗證問題的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:juejin.im。如有侵權,請聯絡admin@php.cn刪除