本文详细介绍了API接口的TOKEN设计,包括api_token和user_token的职责与生成规则。api_token用于保护接口访问的隐蔽性和有效性,user_token则用于防止用户密码多次提交。文章还阐述了接口访问流程,服务器端的校验流程,以及用户登录后的user_token管理策略,确保接口安全。
API是什么?
API(Application Programming Interface)即应用程序接口。你可以认为 API 是一个软件组件或是一个 Web 服务与外界进行的交互的接口。而我们在这里要谈论的,是作为一家公司如何跟外界进行交互。从另一个角度来说,API 是一套协议,规定了我们与外界的沟通方式:如何发送请求和接收响应。
API的特点:
1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;
2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;
3、接口分为需要用户登录才能访问的和不需要用户登录就可访问的;
针对以上特点,移动端与服务端的通信就需要两种不同的TOKEN,一种针对接口的api_token,一种针对用户的user_token;
一、api_token
它的职责是保持接口访问的隐蔽性和有效性,保证接口只有可信任的来源才可以访问,参考思路如下:
按服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器也按同样算法生成一个串,用来校验客户端的串。
现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下:
http://www.api.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2
接口token生成规则参考如下:
$api_token = md5 ('模块名' + '控制器名' + '方法名' + '2018-1-18' + '加密密钥') = 789fed3842aabd834e9a5dd7735532de2
最低0.47元/天 解锁文章
扫一扫
2638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
