本文介绍了在使用Yii2框架开发API接口时的一些关键点,包括如何处理Csrf验证,以及如何进行接口安全设计。通过配置文件禁用默认的Csrf验证,并探讨了接口地址加密和用户信息验证的方法,如使用api_token和user_token确保用户安全。
最近使用yii2作为服务器开发, 客户端为android以及C#, JSON格式通信;
使用yii2作为API接口设计中需要注意的几点:
1. Csrf的验证
默认yii2是使用csrf来验证每次的POST请求, 因为我使用了自定义的一套验证方式,所以需要屏蔽掉csrf, 在设置文件config/main.php中
'request' => [ 'csrfParam' => '_csrf-backend', 'enableCsrfValidation' => false, ],可以参考yii2的源文件说明
yiisoft/yii2/web/Request.php文件中
2. 接口安全设计
一般分为api接口名称加密以及用户信息加密
yii2也是使用controller/action的模式, 例如user/insert表示为添加用户的请求action地址,
这个地址如果不想暴露的话, 可以加密, 在yii2的时候在解密即可
api_token以及user_token
在用户表里可以多添加user_token以及experie_time的字段用于验证用户以及失效时间;
扫一扫
9063
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
