App接口設計之token的php實現
爲了保證移動端和服務端數據傳輸相對安全,需要對接口進行加密傳輸。
一、token的設計目的:
因爲APP端沒有和PC端一樣的session機制,所以無法判斷用戶是否登陸,以及無法保持用戶狀態,所以就需要一種機制來實現session,這就是token的作用
token是用戶登陸的唯一票據,只要APP傳來的token和服務器端一致,就能證明你已經登陸(就和你去看電影一樣,需要買票,拿着票就能進了)
二、token設計時的種類:
(1)第三方登陸型:
這種token形如微信的access_token,設計原理是按照OAuth2.0來的,其特點是定時刷新(比如兩小時刷新),目的是因爲數據源將登陸權限賦予第三方服務器時必須要控制其有效期和權限,要不然第三方服務器可以不經過用戶同意,無限期從數據源服務器獲取用戶任意數據。
(2)APP自用登陸型:
這種token就是一般的APP用的token,因爲不經過第三方,而是用戶直接取數據源服務器數據,所以設計比較隨意,只需要保證其token的唯一性就行。
三、APP自用登陸型token實現步驟:
(1)數據庫用戶表添加token字段和time_out這個token過期時間字段
(2)用戶登陸時(註冊時自動登陸也需要)生成一個token和過期時間存入表中
(3)在其他接口調用前,判斷token是否正確,正確則繼續,錯誤則讓用戶重新登陸
四、APP自用登陸型token實現代碼(公司自用框架及邏輯,主要看邏輯,不要直接複製代碼):
(1)下面是用戶登陸時把token插入數據庫的代碼
$logininfo['token'] = appuser::settoken();
$time_out = strtotime("+7 days");
db::setByPk('u_adver', array('token1' => $logininfo['token'], 'time_out' => $time_out), $logininfo['id']);
(2)//下面是生成token方法代碼
public static function settoken(){
$str = md5(uniqid(md5(microtime(true)),true)); //生成一個不會重複的字符串
$str = sha1($str); //加密
return $str;
}
(3)下面是每個接口都必須調用的token驗證代碼,驗證具體實現是在(4)
$args['token'] = $_POST['token'];
$tokencheck = appuser::checktokens($args['token'], 'u_adver');
if ($tokencheck != 90001) {
$res['msg_code'] = $tokencheck;
v_json($res);
}
(4)token驗證方法,db::是數據庫操作類,這裏設置是token如果七天沒被調用則需要重新登陸(也就是說用戶7天沒有操作APP則需要重新登陸),如果某個接口被調用,則會重新刷新過期時間
public static function checktokens($token, $table){
$res = db::getOneForFields($table, 'time_out', 'token1 = ?', array($token));
if (!empty($res)) {
if (time() - $res['time_out'] > 0) {
return 90003; //token長時間未使用而過期,需重新登陸
}
$new_time_out = time() + 604800;//604800是七天
if (db::setWhere($table, array('time_out' => $new_time_out), 'token1 = ?', array($token))) {
return 90001; //token驗證成功,time_out刷新成功,可以獲取接口信息
}
}
return 90002; //token錯誤驗證失敗
}