如app要請求用戶列表,api是“index.php?module=user&action=list”
app生成token = md5sum (‘user’.’2012-11-28′.’www.aaa.com’.list) = 880fed4ca2aabd20ae9a5dd774711de2;
則實際發起請求爲 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”
服務器端接到請求用同樣方法計算token:
$module = $_GET['module'];
$action = $_GET['action'];
$token = md5($module.date('Y-m-d',time()).'www.aaa.com'.$action);
if($token != $_GET['token']){
alarm('access deny');
exit();
}
這樣就判斷了請求url參數是合法的,允許訪問。關鍵是接口token參數的構造。