客户端api设计时这个返回的Acess_token是怎么保证验证安全的-php教程-PHP中文網

首頁

後端開發

php教程

客户端api设计时这个返回的Acess_token是怎么保证验证安全的

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:14 PM

androidapi認證php

刚看了一份api验证流程

客户端提交账号信息（用户名+密码）到服务端
服务端验证成功，返回AccessToken给客户端存储
3.访问受限资源时，客户端带入AccessToken就可访问。

其中第一步如果是被抓包的连接请求是不是也会返回AcessToken
返回的AcessToken被抓包后也被恶意请求的连接带上是不是也会通过验证
主要是不知道被抓包后获得的这个相同的AcessToken也用来请求服务器是怎么样验证的
请大神指点,这个AcessToken是怎么起到作用的，起到了什么作用，给点细节

回复内容：

刚看了一份api验证流程

客户端提交账号信息（用户名+密码）到服务端
服务端验证成功，返回AccessToken给客户端存储
3.访问受限资源时，客户端带入AccessToken就可访问。

如果传输过程中是明文传输，那么公网上是能劫持到AccessToken的，这个AccessToken在一定时间范围内，不论在谁的手里，都有其对应的用户权限。AccessToken泄露就意味着短时间内用户部分权限泄露。

1、一般API接口都是2小时有效期，APP的则是几天不等。服务器规定。
2、AccessToken可以规定只有部分权限，比如AccessToken1只能查看和编辑用户照片，AccessToken2只能查看和编辑用户好友列表。AccessToken1泄露了顶多把照片丢了，但不会把用户好友信息泄露和破坏。

这个AccessToken你可以认为是为了替换【每次传输账号密码进行验证】这个方法而产生的新方法，因为每次传输账号密码进行验证更不安全，一旦泄露那么就相当于用户所有权限永久泄露（除非用户改密码）。而AccessToken泄露则是仅在AccessToken有效时间内泄露其规定的资源范围内的权限。

服务器端并不验证是好鸟还是坏鸟拿着这个AccessToken使用。退一步讲如果黑客拿着你的账号密码登陆，服务器难道还要给你发一条短信让你输验证码么？（至少现在支付宝连自己APP内部的异常登录提示都不给你发了）

想保证AccessToken的安全，必须由用户侧（这里指服务提供商，比如segmentfault）和Oauth2提供者（比如新浪微博、微信）同时保证，中间数据传输一定要密文的才行。一般都是使用https传输，靠Oauth2提供者的https证书保证安全。如果使用http明文传输，或者https被劫持并被用户侧忽略，则AccessToken被恶意盗取的可能性就陡增。但也由于AccessToken有其权限范围，一般劫到AccessToken也做不了什么，顶多就是改改个人信息，发个垃圾微博啥的？毕竟改密码等高级权限可能这个AccessToken上没有（也不一定，很可能微博很懒根本就没给AccessToken设置权限范围）

没什么作用，只是为了在别人不知道你的accesstoken机制的时候进行一步防范。抓包知道这回事以后，提交是可以自己修改的。进一步是需要加入一些参数签名方法，或者是参数整体加密的方法来防止篡改。

客户端和服务器会约定加密方式，AccessToken也会过期。

https双向加密可以防止别人抓到你网络传输的AcessToken，客户端在保存Token到本地的时候可以加密存储

你可以把 access token 理解为 web 下的 cookie，如果 cookie 被偷走了，其实也是不安全的。
对于中间人来说，用 https 就好。
对于终端上的攻击者，你得从业务流程上做好防范，比如限制接口调用频率，引入合理的加密增加攻击难度。

你把AcessToken看成一个常规web应用中登录以后session中存储的user_id，就算抓包抓到了，他也只是获得了一个用户的账号密码以及用户的所有信息，类似个人用户密码被盗，不至于拿到整站数据这种风险
AcessToken被抓包后也被恶意请求的连接带上是不是也会通过验证？
这个要取决于你的AcessToken生成规则，如果是简单的md5(user_id)那肯定不行，这样每个用户每次生成的AcessToken都一样了，所以需要保证每次生成以后响应给客户端的都是不一样的，然后存储在redis这种数据库中key=AccessToken，value=user_id，如果做的极致一点应该是要有失效时间的，失效了就重新发起请求获取AcessToken
关于验证问题，web客户端存cookie里,APP客户端存本地数据库，每次请求都带上，然后每次比对请求过来的accesstoken在redis中找对应的user_id值，然后服务端取到user_id进行数据获取操作

这个是基本的一个逻辑，其中应该还会牵涉业务，要根据实际情况来进行调整了

OAuth2规定API必须用https，获取到token没那么容易
Token是有过期时间的，通常不会很长

个人喜欢用Json Web Token，楼主可以去查查相关的资料

AccessToken？以前做微博那帮人抓取的经常去找weico的key来用...

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP與Python：了解差異Apr 11, 2025 am 12:15 AM

PHP和Python各有優勢，選擇應基於項目需求。 1.PHP適合web開發，語法簡單，執行效率高。 2.Python適用於數據科學和機器學習，語法簡潔，庫豐富。

php：死亡還是簡單地適應？Apr 11, 2025 am 12:13 AM

PHP不是在消亡，而是在不斷適應和進化。 1)PHP從1994年起經歷多次版本迭代，適應新技術趨勢。 2)目前廣泛應用於電子商務、內容管理系統等領域。 3)PHP8引入JIT編譯器等功能，提升性能和現代化。 4)使用OPcache和遵循PSR-12標準可優化性能和代碼質量。

PHP的未來：改編和創新Apr 11, 2025 am 12:01 AM

PHP的未來將通過適應新技術趨勢和引入創新特性來實現：1)適應云計算、容器化和微服務架構，支持Docker和Kubernetes；2)引入JIT編譯器和枚舉類型，提升性能和數據處理效率；3)持續優化性能和推廣最佳實踐。

您什麼時候使用特質與PHP中的抽像類或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法，避免多重繼承複雜性。 2)使用trait時需注意方法衝突，可通過insteadof和as關鍵字解決。 3)應避免過度使用trait，保持其單一職責，以優化性能和提高代碼可維護性。

什麼是依賴性注入容器（DIC），為什麼在PHP中使用一個？Apr 10, 2025 am 09:38 AM

依賴注入容器（DIC）是一種管理和提供對象依賴關係的工具，用於PHP項目中。 DIC的主要好處包括：1.解耦，使組件獨立，代碼易維護和測試；2.靈活性，易替換或修改依賴關係；3.可測試性，方便注入mock對象進行單元測試。

與常規PHP陣列相比，解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一種固定大小的數組，適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小，避免動態調整帶來的開銷。 2)基於C語言數組，直接操作內存，訪問速度快。 3)適合大規模數據處理和內存敏感環境，但需謹慎使用，因其大小固定。

PHP如何安全地上載文件？Apr 10, 2025 am 09:37 AM

PHP通過$\_FILES變量處理文件上傳，確保安全性的方法包括：1.檢查上傳錯誤，2.驗證文件類型和大小，3.防止文件覆蓋，4.移動文件到永久存儲位置。

什麼是無效的合併操作員（??）和無效分配運算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值，但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯，提高了可讀性和性能。

See all articles