下面thinkphp框架教學欄位將介紹給大家關於Thinkphp在app介面開發過程中通訊安全的認證問題,希望對需要的朋友有幫助!
對於我們寫好的接口,如果不經過安全認證就可以直接訪問的話,則將對我們網站產生非常大的安全隱患,一些hack可能直接用你的接口去操作數據庫,後果無法估量。
那麼要如何進行有效的安全驗證呢?
這裡採用了微信開發中的access_token機制,讓app前端開發工程師透過提交appid和appsecert來獲取token,伺服器端對token快取7200秒,客戶端如果每次都直接請求token則token每次都會重置;
所以推薦客戶端也一樣進行緩存,客戶端可以透過判斷本地token是否存在,如果存在則直接用token做參數去訪問我們的api,服務端判斷token的有效性並給予相應的返回,客戶端緩存的token如果失效了,就直接再請求獲取token,思路大概就是這樣,下面提供了完整的參考代碼,如果有更好的方法,也可留言
<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
public $appid = 'dmm888';
public $appsecret = 'http://cnblogs.com/dmm888';
public function index(){
$this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
}
public function test(){
if(!isset($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}else if(!S($_GET['token'])){
$this->apiReturn(4001,'invalid token');
}
$data = array(
'id'=>2,
'username'=>'明之暗夜',
'info'=>array('age'=>24,'address'=>'学府路','url'=>'http://cnblogs.com/dmm888')
);
if($data){
$this->apiReturn(200,'读取用户信息成功',$data,xml);
}
}
public function getToken(){
$ori_str = S($this->appid.'_'.$this->appsecret); //这里appid和appsecret我写固定了,实际是通过客户端获取 所以这里我们可以做很多 比如判断appid和appsecret有效性等
if($ori_str){ //重新获取就把以前的token删除
S($ori_str,null);
}
//这里是token产生的机制 您也可以自己定义
$nonce = $this->createNoncestr(32);
$tmpArr = array($nonce,$this->appid,$this->appsecret);
sort($tmpArr, SORT_STRING);
$tmpStr = implode( $tmpArr );
$tmpStr = sha1( $tmpStr );
// echo $tmpStr;
//这里做了缓存 'a'=>b 和'b'=>a格式的缓存
S($this->appid.'_'.$this->appsecret,$tmpStr,7200);
S($tmpStr,$this->appid.'_'.$this->appsecret,7200);
}
/**
* 作用:产生随机字符串,不长于32位
*/
function createNoncestr( $length = 32 )
{
$chars = "abcdefghijklmnopqrstuvwxyz0123456789";
$str ="";
for ( $i = 0; $i < $length; $i++ ) {
$str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);
}
return $str;
}
}具體怎麼驗證我就不用寫了吧,這樣我們只需把appid和appsecret給app前端開發者並告訴他怎麼用就可以了token就是唯一令牌只有token有效才可以向下執行從而安全性可以得到一定保證。
推薦學習:《最新的10個thinkphp影片教學》
以上是聊聊TP在app介面開發過程中的安全驗證問題的詳細內容。更多資訊請關注PHP中文網其他相關文章!
