怎么防止外人调用api？

小弟问个问题
如果网站的操作都是通过一个api实现的
比如
php有一个控制页面，www.control.php?action=1$addlist="adfs".....
当然是post方法，举例。

从主页ajax 调用post到这个页面

怎么防止别人通过工具提交页面到我的api，只允许我的手机app提交？

谢谢大神们指点

回复讨论(解决方案)

我们团队的做法是每台手机登陆app后会有一个session_id，简称sid，通过这个来判断是不是非法调用

我们团队的做法是每台手机登陆app后会有一个session_id，简称sid，通过这个来判断是不是非法调用

谢谢，像这种的session id是不是要存到数据库进行验证呢？
我对令牌这方面的确不了解，不明白怎么实现的

我们团队的做法是每台手机登陆app后会有一个session_id，简称sid，通过这个来判断是不是非法调用

谢谢，像这种的session id是不是要存到数据库进行验证呢？
我对令牌这方面的确不了解，不明白怎么实现的
是这样的，我们的app调用我们web这边的接口后，传上来sid值，web再通过服务器端c++去验证这个sid（sid应该是在app登陆的时候保存在内存了），如果相等就OK，不等的话就说明是非法调用。

手机内部至一个私钥，然后所有请求挂上该私钥的非对称签名，不符合签名的一概拒绝。

去下一个支付宝支付的phpsdk，看看他是如何对所有的get参数进行签名认证的，就可以了。

好高深，对于刚接触php的我是来学习的。

手机内部至一个私钥，然后所有请求挂上该私钥的非对称签名，不符合签名的一概拒绝。

谢谢各位
是不是简单来说，用户登陆时候，服务器验证登陆后，发放一个数字token给前台客户端，藏在hidden中，并对应写到session里面
每次用户提交时候，get 这个hidden里面的数值和session对应
如果相对，就说明这个用户是被认证过的说

www.control.php?action=1&addlist="adfs"
以上?的url?例:
首先???函?,用???加密和解密,那?新的url变成
加密函数:用来对指定的内容进行加密,他加密过的内容可以用解密函数反解

www.control.php?action=1&addlist="adfs"&key=加密函数("adfs")

服务器端:
分?获取到addlist和key的值,然后用解密函数解出接过来,用这个结果和addlist比?一下

我们团队的做法是每台手机登陆app后会有一个session_id，简称sid，通过这个来判断是不是非法调用

谢谢，像这种的session id是不是要存到数据库进行验证呢？
我对令牌这方面的确不了解，不明白怎么实现的
是这样的，我们的app调用我们web这边的接口后，传上来sid值，web再通过服务器端c++去验证这个sid（sid应该是在app登陆的时候保存在内存了），如果相等就OK，不等的话就说明是非法调用。

为什么不继续用php，要调用C++去验证呢？小白疑问

a..给错分了。。