客户端api设计时这个返回的Acess_token是怎么保证验证安全的-php教程-PHP中文网

首页

后端开发

php教程

客户端api设计时这个返回的Acess_token是怎么保证验证安全的

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:14 PM

androidapi认证php

刚看了一份api验证流程

客户端提交账号信息（用户名+密码）到服务端
服务端验证成功，返回AccessToken给客户端存储
3.访问受限资源时，客户端带入AccessToken就可访问。

其中第一步如果是被抓包的连接请求是不是也会返回AcessToken
返回的AcessToken被抓包后也被恶意请求的连接带上是不是也会通过验证
主要是不知道被抓包后获得的这个相同的AcessToken也用来请求服务器是怎么样验证的
请大神指点,这个AcessToken是怎么起到作用的，起到了什么作用，给点细节

回复内容：

刚看了一份api验证流程

客户端提交账号信息（用户名+密码）到服务端
服务端验证成功，返回AccessToken给客户端存储
3.访问受限资源时，客户端带入AccessToken就可访问。

如果传输过程中是明文传输，那么公网上是能劫持到AccessToken的，这个AccessToken在一定时间范围内，不论在谁的手里，都有其对应的用户权限。AccessToken泄露就意味着短时间内用户部分权限泄露。

1、一般API接口都是2小时有效期，APP的则是几天不等。服务器规定。
2、AccessToken可以规定只有部分权限，比如AccessToken1只能查看和编辑用户照片，AccessToken2只能查看和编辑用户好友列表。AccessToken1泄露了顶多把照片丢了，但不会把用户好友信息泄露和破坏。

这个AccessToken你可以认为是为了替换【每次传输账号密码进行验证】这个方法而产生的新方法，因为每次传输账号密码进行验证更不安全，一旦泄露那么就相当于用户所有权限永久泄露（除非用户改密码）。而AccessToken泄露则是仅在AccessToken有效时间内泄露其规定的资源范围内的权限。

服务器端并不验证是好鸟还是坏鸟拿着这个AccessToken使用。退一步讲如果黑客拿着你的账号密码登陆，服务器难道还要给你发一条短信让你输验证码么？（至少现在支付宝连自己APP内部的异常登录提示都不给你发了）

想保证AccessToken的安全，必须由用户侧（这里指服务提供商，比如segmentfault）和Oauth2提供者（比如新浪微博、微信）同时保证，中间数据传输一定要密文的才行。一般都是使用https传输，靠Oauth2提供者的https证书保证安全。如果使用http明文传输，或者https被劫持并被用户侧忽略，则AccessToken被恶意盗取的可能性就陡增。但也由于AccessToken有其权限范围，一般劫到AccessToken也做不了什么，顶多就是改改个人信息，发个垃圾微博啥的？毕竟改密码等高级权限可能这个AccessToken上没有（也不一定，很可能微博很懒根本就没给AccessToken设置权限范围）

没什么作用，只是为了在别人不知道你的accesstoken机制的时候进行一步防范。抓包知道这回事以后，提交是可以自己修改的。进一步是需要加入一些参数签名方法，或者是参数整体加密的方法来防止篡改。

客户端和服务器会约定加密方式，AccessToken也会过期。

https双向加密可以防止别人抓到你网络传输的AcessToken，客户端在保存Token到本地的时候可以加密存储

你可以把 access token 理解为 web 下的 cookie，如果 cookie 被偷走了，其实也是不安全的。
对于中间人来说，用 https 就好。
对于终端上的攻击者，你得从业务流程上做好防范，比如限制接口调用频率，引入合理的加密增加攻击难度。

你把AcessToken看成一个常规web应用中登录以后session中存储的user_id，就算抓包抓到了，他也只是获得了一个用户的账号密码以及用户的所有信息，类似个人用户密码被盗，不至于拿到整站数据这种风险
AcessToken被抓包后也被恶意请求的连接带上是不是也会通过验证？
这个要取决于你的AcessToken生成规则，如果是简单的md5(user_id)那肯定不行，这样每个用户每次生成的AcessToken都一样了，所以需要保证每次生成以后响应给客户端的都是不一样的，然后存储在redis这种数据库中key=AccessToken，value=user_id，如果做的极致一点应该是要有失效时间的，失效了就重新发起请求获取AcessToken
关于验证问题，web客户端存cookie里,APP客户端存本地数据库，每次请求都带上，然后每次比对请求过来的accesstoken在redis中找对应的user_id值，然后服务端取到user_id进行数据获取操作

这个是基本的一个逻辑，其中应该还会牵涉业务，要根据实际情况来进行调整了

OAuth2规定API必须用https，获取到token没那么容易
Token是有过期时间的，通常不会很长

个人喜欢用Json Web Token，楼主可以去查查相关的资料

AccessToken？以前做微博那帮人抓取的经常去找weico的key来用...

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。