TOKEN設計
-
Api_Token
-
首先需要知道API是什麼?
API(Application Programming Interface)即應用程序接口。你可以認爲 API 是一個軟件組件或是一個 Web 服務與外界進行的交互的接口。而我們在這裏要談論的,是作爲一家公司如何跟外界進行交互。從另一個角度來說,API 是一套協議,規定了我們與外界的溝通方式:如何發送請求和接收響應。
-
API的特點:
- 因爲是非開放性的,所以所有的接口都是封閉的,只對公司內部的產品有效;
- 因爲是非開放性的,所以OAuth那套協議是行不通的,因爲沒有中間用戶的授權過程;
- 接口分爲需要用戶登錄才能訪問的和不需要用戶登錄就可訪問的;
-
職責
保持接口訪問的隱蔽性和有效性,保證接口只有可信任的來源纔可以訪問。
-
模式:
現在的接口基本是mvc模式,URL基本是restful風格,URL大體格式如下:
http://www.api.com/模塊名/控制器名/方法名?參數名1=參數值1&參數名2=參數值2
生成規則參考如下:
$api_token = md5 ('模塊名' + '控制器名' + '方法名' + '時間' + '加密密鑰');
-
例子
<?php //獲取GET參數值 $module = $_GET['module']; $controller = $_GET['controller'] $action = $_GET['action']; $client_id = $_GET['client_id']; $api_token = $_GET['api_token']; //根據客戶端傳過來的client_id,查詢數據庫,獲取對應的client_secret $client_secret = getClientSecret($client_id); //服務端重新生成一個api_token $api_token_server = md5($module . $controller . $action . date('Y-m-d', time()) . $client_secret); //客戶端傳過來的api_token與服務端生成的api_token進行校對,如果不相等,則表示驗證失敗 if ($api_token != $api_token_server) { exit('access deny'); //拒絕訪問 } //驗證通過,返回數據給客戶端 ?>
-
-
User_Token
-
職責
保護用戶的用戶名及密碼多次提交,以防密碼泄露。
-
模式
登錄成功後,服務端返回一個user_token,生成規則參考如下:
$user_token = md5('用戶的uid' + 'Unix時間戳' + '證書私鑰')
服務端生成user_token後,返回給客戶端(自己存儲),客戶端每次接口請求時,如果接口需要用戶登錄才能訪問,則需要把 user_id與user_token傳回給服務端,服務端接受到這2個參數後,需要做以下幾步:
- 檢測user_token的有效性;
- 刪除過期的user_token表記錄;
- 根據user_id,user_token 獲取表記錄,如果表記錄不存在,直接返回錯誤,如果記錄存在,則進行下一步;
- 更新user_token 的過期時間(延期,保證其有效期內連續操作不掉線);
- 返回接口數據;
-