アプリインターフェース開発プロセスにおけるTPのセキュリティ検証の問題について話しましょう

次の thinkphp フレームワーク チュートリアル コラムでは、アプリ インターフェイス開発プロセスにおける Thinkphp の通信セキュリティ認証の問題について紹介します。困っている友人の役に立てば幸いです。

私たちが作成したインターフェースについて、セキュリティ認証なしで直接アクセスできる場合、当社の Web サイトに大きなセキュリティ上のリスクが生じることになります。一部のハッカーはあなたのインターフェースを直接使用してデータベースを操作する可能性があり、その結果は次のとおりです。取り消しは不可能です。

では、効果的なセキュリティ検証を実行するにはどうすればよいでしょうか?

ここでは WeChat 開発の access_token メカニズムが使用されており、アプリのフロントエンド開発エンジニアが appid と appecert を送信することでトークンを取得できるようになります。サーバーはトークンを 7200 秒間キャッシュします。毎回直接トークンを要求すると、トークンは毎回リセットされます;

したがって、クライアントでもキャッシュすることをお勧めします。クライアントは、ローカル トークンが存在するかどうかを判断できます。存在する場合は、トークンを直接使用します。 API にアクセスするためのパラメータとして、サーバーがトークンの有効性を判定し、対応するリターンを返す クライアントがキャッシュしたトークンが無効な場合は、直接トークンを再度リクエストする 考え方は大まかに言うとこのように完全なリファレンス コードを以下に示します。より良い方法がある場合は、メッセージを残すこともできます

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public $appid = &#39;dmm888&#39;;    
    public $appsecret = &#39;http://cnblogs.com/dmm888&#39;;
    
    public function index(){
        $this->show(&#39;<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>！</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>&#39;,&#39;utf-8&#39;);
    }
    public function  test(){
        if(!isset($_GET[&#39;token&#39;])){
            $this->apiReturn(4001,&#39;invalid token&#39;);
        }else if(!S($_GET[&#39;token&#39;])){            
            $this->apiReturn(4001,&#39;invalid token&#39;);
            
        }
 
        $data = array(
            &#39;id&#39;=>2,
            &#39;username&#39;=>&#39;明之暗夜&#39;,
            &#39;info&#39;=>array(&#39;age&#39;=>24,&#39;address&#39;=>&#39;学府路&#39;,&#39;url&#39;=>&#39;http://cnblogs.com/dmm888&#39;)
        );
        if($data){
            $this->apiReturn(200,&#39;读取用户信息成功&#39;,$data,xml);
        }
    }
    public function getToken(){
        $ori_str = S($this->appid.&#39;_&#39;.$this->appsecret);   //这里appid和appsecret我写固定了，实际是通过客户端获取  所以这里我们可以做很多 比如判断appid和appsecret有效性等
        if($ori_str){       //重新获取就把以前的token删除
            S($ori_str,null);
        }
        //这里是token产生的机制  您也可以自己定义
        $nonce = $this->createNoncestr(32);
        $tmpArr = array($nonce,$this->appid,$this->appsecret);
        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );
        // echo $tmpStr;
        //这里做了缓存 &#39;a&#39;=>b 和&#39;b&#39;=>a格式的缓存
        S($this->appid.&#39;_&#39;.$this->appsecret,$tmpStr,7200);  
        S($tmpStr,$this->appid.&#39;_&#39;.$this->appsecret,7200);
    }
     /**
     *  作用：产生随机字符串，不长于32位
     */
     function createNoncestr( $length = 32 ) 
    {
        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";  
        $str ="";
        for ( $i = 0; $i < $length; $i++ )  {  
            $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);  
        }  
        return $str;
    }     
}

特定の検証方法を記述する必要はありません。この方法で必要なのは、アプリのフロントエンド開発者にappidとappsecretを渡して使い方を教える トークンが唯一のトークンであり、トークンが有効な場合のみ下向きに実行できるため、ある程度のセキュリティが保証される。

推奨学習: 「最新の 10 件の thinkphp ビデオ チュートリアル 」

以上がアプリインターフェース開発プロセスにおけるTPのセキュリティ検証の問題について話しましょうの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。