APP与web服务端接口Token验证上的一个疑问？-php教程-PHP中文网

首页

后端开发

php教程

APP与web服务端接口Token验证上的一个疑问？

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 06, 2016 pm 01:31 PM

apiheadertokenuser

如果我通过抓包得到了api_token，user_token等等所有参数以及header，那在短时间内，我直接带上我获取到的参数，验证规则一样通过，我不就可以用这个接口了？个人能想到的办法就是把token验证的时间弄短一点。不知道大神们是怎么解决这个问题的？

回复内容：

token就是起这个作用的啊……不就是为了让你能用才设计的token么。设计token的主要目的是不希望长时间保存用户的用户名和密码，所以转换成一个随机码，这个码本身就有替代用户名和密码的作用，所以一旦泄露了，自然后果也会很严重。
现在安全级别高的API一般都只能使用HTTPS，这样从路径中间是抓不到连接上的内容的，所以不会把token泄露给其他人。至于两头，一头本来就是用户，一头是你自己的服务器，这个token本来就是应该在两边共享的内容吧。
以前有另一种设计是使用api_key和secret_key两个值，其中api_key在HTTP当中明文传输，而secret_key不出现在HTTP明文中，而是作为MD5 Hash的一部分参与进来，一般将整个URL参数正规化（按参数名排序，统一转换成小写，正确进行URL编码），然后加上secret_key，计算MD5，然后把MD5作为一个附加的sig参数通过HTTP传递，这样即使中间抓到包，也只能看到api_key，看不到secret_key，就无法自由使用这个接口。但这个设计对于重放是有弱点的，虽然我不能自由地重新组合参数，但是我可以重新使用之前抓到的参数，这仍然是不安全的；而且，缺乏一个将secret_key安全分发到终端的手段。所以其实还是直接使用HTTPS比较有效。

作为参考我们来看一下OAuth 2.0的设计，OAuth 2.0是第三方登录，涉及到用户、认证中心、第三方应用三方面的关系，它遇到的问题就要更复杂一些，我们可以看它如何获取token，并且防止token被泄露给不应当泄露的一方：

OAuth服务器与第三方服务器同时知道相同的api_key, secret_key
用户与第三方服务器同时知道api_key（通常是由第三方应用或者Web网页携带的）
用户与OAuth服务器同时知道相同的用户名密码，第三方应用不知道
用户申请第三方登录时，使用api_key调用OAuth服务器登录接口（一般由第三方应用引导），使用OAuth服务器的页面输入用户名密码，OAuth服务器返回auth_code，这可以看作一个临时的token。这一步必须使用https，保证用户名和密码不被窃取。
用户使用auth_code调用第三方应用的接口（通常由callback机制自动完成），这一步可以使用HTTP，所以auth_code可能会泄露
第三方应用使用auth_code + api_key + secret_key调用OAuth服务器的第二步登录接口，获取access_token，也就是正式的token。虽然auth_code可能泄露，但是由于secret_key攻击者无法获得，也就无法利用auth_code来换取token。这一步必须使用HTTPS，保证secret_key不泄露。

至此，第三方应用成功获取到了access_token，而这个access_token只在OAuth服务器和第三方服务器之间共享，不会泄露给包括用户在内的第三方。可见这个过程中主要是依赖HTTPS的加密特性来保证最重要数据（用户名、密码、secret_key）不被泄露。此外，不同安全级别的token应该有不同的超时时间，比如auth_code超时时间非常短，而access_token有相对长的超时时间。

接口用https，抓包都是乱码。但是也有伪装中间人的方法？谢邀……
最极端的办法：
每个token只一次有效……

当然，这涉及到大量的读写操作。
SO……一般不这么搞…… 随机数加token加时间戳进行md5签名把签名和随机数时间戳一起传给服务器不是这样子的，在服务器端先要判断session，通过之后才会进入到我们写的token验证中。 1:https；
2:认证模块独立，token入session，再次校验，这个和认证的设计有关系；
3:高频率更换token，具体看业务重要性；

以上个人看法，可能不太严谨

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP类型提示如何起作用，包括标量类型，返回类型，联合类型和无效类型？Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示：自PHP7.0起，允许在函数参数中指定基本数据类型，如int、float等。2)返回类型提示：确保函数返回值类型的一致性。3)联合类型提示：自PHP8.0起，允许在函数参数或返回值中指定多个类型。4)可空类型提示：允许包含null值，处理可能返回空值的函数。

PHP如何处理对象克隆（克隆关键字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone关键字创建对象副本，并通过\_\_clone魔法方法定制克隆行为。1.使用clone关键字进行浅拷贝，克隆对象的属性但不克隆对象属性内的对象。2.通过\_\_clone方法可以深拷贝嵌套对象，避免浅拷贝问题。3.注意避免克隆中的循环引用和性能问题，优化克隆操作以提高效率。

PHP与Python：用例和应用程序Apr 17, 2025 am 12:23 AM

PHP适用于Web开发和内容管理系统，Python适合数据科学、机器学习和自动化脚本。1.PHP在构建快速、可扩展的网站和应用程序方面表现出色，常用于WordPress等CMS。2.Python在数据科学和机器学习领域表现卓越，拥有丰富的库如NumPy和TensorFlow。

描述不同的HTTP缓存标头（例如，Cache-Control，ETAG，最后修饰）。Apr 17, 2025 am 12:22 AM

HTTP缓存头的关键玩家包括Cache-Control、ETag和Last-Modified。1.Cache-Control用于控制缓存策略，示例：Cache-Control:max-age=3600,public。2.ETag通过唯一标识符验证资源变化，示例：ETag:"686897696a7c876b7e"。3.Last-Modified指示资源最后修改时间，示例：Last-Modified:Wed,21Oct201507:28:00GMT。

说明PHP中的安全密码散列（例如，password_hash，password_verify）。为什么不使用MD5或SHA1？Apr 17, 2025 am 12:06 AM

在PHP中，应使用password_hash和password_verify函数实现安全的密码哈希处理，不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希，增强安全性。2)password_verify验证密码，通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值，不适合现代密码安全。

PHP：服务器端脚本语言的简介Apr 16, 2025 am 12:18 AM

PHP是一种服务器端脚本语言，用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言，无需编译，适合快速开发。2.PHP代码嵌入HTML中，易于网页开发。3.PHP处理服务器端逻辑，生成HTML输出，支持用户交互和数据处理。4.PHP可与数据库交互，处理表单提交，执行服务器端任务。

PHP和网络：探索其长期影响Apr 16, 2025 am 12:17 AM

PHP在过去几十年中塑造了网络，并将继续在Web开发中扮演重要角色。1)PHP起源于1994年，因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成，使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响，但也面临版本更新和安全性挑战。4)近年来的性能改进，如PHP7的发布，使其能与现代语言竞争。5)未来，PHP需应对容器化、微服务等新挑战，但其灵活性和活跃社区使其具备适应能力。