javascript - ajax API 怎么做安全验证？-php教程-PHP中文网

首页

后端开发

php教程

javascript - ajax API 怎么做安全验证？

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Aug 08, 2016 am 09:06 AM

javascriptphp

在web中，使用Ajax调用API，怎么做安全验证，防止别的网站调用呢？

如果是APP调用要怎么解决接口安全问题呢？还有API怎么样才能不暴露在公网上呢？只要的的APP能调用，不都算暴露在公网上吗？

回复内容：

在web中，使用Ajax调用API，怎么做安全验证，防止别的网站调用呢？

如果是APP调用要怎么解决接口安全问题呢？还有API怎么样才能不暴露在公网上呢？只要的的APP能调用，不都算暴露在公网上吗？

ajax 跨域解决不了问题，跨域可以通过服务端模拟请求发送获取ajax的数据

有两种方法，但基本类似，一种是请求头，一种是页面添加input token 但是这两种方法前面主要的问题是要把token加密
比如 token = md5(IP + 随机数 + 时间戳 + UID + session_secret) 其实里面的内容自己定义就好，主要是加密

将加密的内容放入session中， session要设置过期时间

1、请求头的话

加入access_token 请求头，在后台获取去请求头的内容，然后跟session中的值比较，如果争取就证明没问题，然后session就失效了。

2、跟请求头类似，但是加密的值放到 input hidden 里面， ajax提交的时候获取这个值放到参数里面

回答你后面的APP的问题

APP能访问肯定是要在公网上的，目前我们的安全方案是参数加密

比如说要提交 a=1&n=2

那么实际提交的时候要对参数进行加密， mid=xxx&a=1&b=2&sign=md5(' mid=xxx&a=1&b=2'+密钥)

mid表示一个客户端调用接口的账户，账户对应一个密钥

服务器端每次要检验提交的参数是否正确也就是最后的sign这个参数

还有重要的一点就是客户端的要是原生APP，代码必须混淆加密，防止反编译。然后这个密钥的话定期更换，随着版本更新更换密钥

还有一种方法是在提交参数之前先将所有要提交的参数请求一个加密的地址这个地址会根据你的参数返回一个加密的token ，你带着这个token 再提交实际的参数，后端去进行验证

这个方法的缺点就是要多进行一次网络请求，只适用于混合应用

这些也是我看其他博客学习来的，也不知道淘宝，京东这样的APP的接口是怎么处理的

服务器上没有额外设置的话，ajax是无法跨域调用你的api的，你也可以获取请求的域名来判断一下

让你授权的网站才能访问
可以在请求头部加Access-Token

如果是接口性质的api调用，就不要暴露在公网上；如果是前端js用的ajax，那么就要保证用户登录后才能调用，也就是说验证session。

在ajax请求头里加上token，如

<code>$(function() {
    $.ajax({
        type: "GET",
        url: "godruoyi.com",
            beforeSend: function(request) {
                request.setRequestHeader("token", "asdadsadasdasdadadad");
            },
            success: function(result) {
                alert(result);
            }
        });
});</code>

或者在模板基类加上

<code>$.ajaxSetup({
    headers: { 'token' : 'xxxxxxxxxxxx' }
});</code>

token可以从登陆API完成后返回的有效值，这需要你的应用自己设计了，后续所有请求(若要验证身份，都带上改token，)，服务端通过该token来标示用户，

有点类似于Oauth2, 参考oauth2.0

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您什么时候使用特质与PHP中的抽象类或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait适用于需要方法复用但不适合使用继承的情况。1)trait允许在类中复用方法，避免多重继承复杂性。2)使用trait时需注意方法冲突，可通过insteadof和as关键字解决。3)应避免过度使用trait，保持其单一职责，以优化性能和提高代码可维护性。

什么是依赖性注入容器（DIC），为什么在PHP中使用一个？Apr 10, 2025 am 09:38 AM

依赖注入容器（DIC）是一种管理和提供对象依赖关系的工具，用于PHP项目中。DIC的主要好处包括：1.解耦，使组件独立，代码易维护和测试；2.灵活性，易替换或修改依赖关系；3.可测试性，方便注入mock对象进行单元测试。

与常规PHP阵列相比，解释SPL SplfixedArray及其性能特征。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一种固定大小的数组，适用于需要高性能和低内存使用量的场景。1)它在创建时需指定大小，避免动态调整带来的开销。2)基于C语言数组，直接操作内存，访问速度快。3)适合大规模数据处理和内存敏感环境，但需谨慎使用，因其大小固定。

PHP如何安全地上载文件？Apr 10, 2025 am 09:37 AM

PHP通过$\_FILES变量处理文件上传，确保安全性的方法包括：1.检查上传错误，2.验证文件类型和大小，3.防止文件覆盖，4.移动文件到永久存储位置。

什么是无效的合并操作员（??）和无效分配运算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中处理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。1.??返回第一个非null或非undefined的操作数。2.??=将变量赋值为右操作数的值，但前提是该变量为null或undefined。这些操作符简化了代码逻辑，提高了可读性和性能。

什么是内容安全策略（CSP）标头，为什么重要？Apr 09, 2025 am 12:10 AM

CSP重要因为它能防范XSS攻击和限制资源加载，提升网站安全性。1.CSP是HTTP响应头的一部分，通过严格策略限制恶意行为。2.基本用法是只允许从同源加载资源。3.高级用法可设置更细粒度的策略，如允许特定域名加载脚本和样式。4.使用Content-Security-Policy-Report-Only头部可调试和优化CSP策略。