专栏首页PHP在线API接口TOKEN设计

API接口TOKEN设计

首先需要知道API是什么?

API(Application Programming Interface)即应用程序接口。你可以认为 API 是一个软件组件或是一个 Web 服务与外界进行的交互的接口。而我们在这里要谈论的,是作为一家公司如何跟外界进行交互。从另一个角度来说,API 是一套协议,规定了我们与外界的沟通方式:如何发送请求和接收响应。 API的特点:

1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、接口分为需要用户登录才能访问的和不需要用户登录就可访问的;

针对以上特点,移动端与服务端的通信就需要两种不同的TOKEN,一种针对接口的api_token,一种针对用户的user_token;

一.api_token 它的职责是保持接口访问的隐蔽性和有效性,保证接口只有可信任的来源才可以访问,参考思路如下: 按服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器也按同样算法生成一个串,用来校验客户端的串。 现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下: http://www.api.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2 接口token生成规则参考如下: $api_token = md5 ('模块名' + '控制器名' + '方法名' + '2018-1-18' + '加密密钥') = 789fed3842aabd834e9a5dd7735532de2 1.'2018-1-18' 为当天时间 2.'加密密钥'为私有的加密密钥,手机端需要在服务端注册一个“接口使用者”账号后,系统会分配一个账号及密码,数据表设计参考如下: 字段名及字段类型 client_id varchar(20) 客户端ID client_secret varchar(20) 客户端(加密)密钥 服务端接口校验,PHP实现流程如下: <?php //获取GET参数值 $module = $_GET['module']; $controller = $_GET['controller'] $action = $_GET['action']; $client_id = $_GET['client_id']; $api_token = $_GET[''api_token]; //根据客户端传过来的client_id,查询数据库,获取对应的client_secret $client_secret = getClientSecret($client_id); //服务端重新生成一个api_token $api_token_server = md5($module . $controller . $action . date('Y-m-d', time()) . $client_secret); //客户端传过来的api_token与服务端生成的api_token进行校对,如果不相等,则表示验证失败 if ($api_token != $api_token_server) { exit('access deny'); //拒绝访问 } //验证通过,返回数据给客户端 ?> 二.user_token 它的职责是保护用户的用户名及密码多次提交,以防密码泄露。 如果接口需要用户登录,其访问流程如下: 1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https); 2、登录成功后,服务端返回一个user_token,生成规则参考如下: user_token = md5('用户的uid' + 'Unix时间戳') = etye0fgkgk4ca2ttdsl0ae9a5dd77471fgf 服务端用数据表维护user_token的状态,表设计如下: 字段名及字段类型如下: user_id int(11) 用户ID user_token varchar(36) 用户token expire_time int 过期时间(Unix时间戳) 服务端生成user_token后,返回给客户端(自己存储),客户端每次接口请求时,如果接口需要用户登录才能访问,则需要把 user_id与user_token传回给服务端,服务端接受到这2个参数后,需要做以下几步: 1、检测user_token的有效性; 2、删除过期的user_token表记录; 3、根据user_id,user_token 获取表记录,如果表记录不存在,直接返回错误,如果记录存在,则进行下一步; 4、更新user_token 的过期时间(延期,保证其有效期内连续操作不掉线); 5、返回接口数据; 接口用例如下:添加测试接口 URL: http://www.api.com/demo/index/add-demo?client_id=wt373uesksklwkskx36sr5858t6&api_token=880fed4ca2aabd20ae9eessa74711de2&user_token=etye0fgkgk4ca2asehxlejeje5dd77471fgf&user_id=12 请求方式: POST POST参数:title=哈喽&content=我的世界 返回数据: { 'code' => 1, // 1:成功 0:失败 'msg' => '成功/失败,无权访问' 'data' => [] }

本文分享自微信公众号 - php(phpdaily)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 创业公司必备,六款高效稳定的办公SDK、API盘点

    在当今移动互联网创业环境里,好的创业项目在半年至一年时间里应该可以拿到A轮了。既然你是一个创业公司,要么快速“干”起来,要么赶紧去“死”,半死不活的运行着浪费公...

    BestSDK
  • BestSDK开发者工具2016年度盘点:服务类API调用,依旧雄踞榜首

    由于各网站、APP的用户、活跃、利润等数据都是核心机密,外人无从得知,想要统计整个行业的数据做全盘分析更是不可能完成的任务。通过观测第三方应用市场的下载量、网...

    BestSDK
  • 室内位置服务API/SDK将引来大爆发:智能出行、O2O、万物互联都离不开它

    根据诺基亚提供的数据,人们87%-90%的时间在室内度过。产业多元化促使人们活动的室内场景变得愈加庞大而复杂。出行导航、智能制造、机器人、智能服务等行业也亟待人...

    BestSDK
  • 互联网人必备:深刻理解什么是API接口

    API(ApplicationProgrammingInterface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以...

    BestSDK
  • Java项目中使用最多的排名前100的类,你用的最多的是哪些

    从事Java软件开发工作很大程度是要利用各种类库的api,有组织曾经从10000个开放源码的Java项目中,统计API类的使用频率;下面的列表显示了前100名。...

    用户1289394
  • 如何通过追踪代码自动发现网站之间的“关联”

    几年前Lawrence Alexander发表了一篇使用Google Analytics查找网页之间的关联的文章,去年,我也发布了一个关于如何使用Python自...

    FB客服
  • Uber RUSH 开放API,提供同城快递服务

    Uber 很早之前就说过,公司未来的雄心目标不仅限于拉人送客,还要送货。上门干洗服务工具 Dryv 使用 UberRUSH 为用户提供更多选择:Dryv 是一...

    BestSDK
  • 腾讯开放位置服务API,日均调用超过450亿次

    腾讯在福州举行的2016全球合作伙伴大会上,发布了全新的腾讯位置服务。会上,腾讯位置服务首次对合作伙伴公布了五大行业解决方案,并通过微信公众号,联合四维图新等推...

    BestSDK
  • 一周简报|2016科大讯飞年度发布会:开放全平台语音SDK,拥抱人工智能

    网易七鱼:跨屏交流、多平台服务,我们只想做人工智能云客服;云智慧携手海航云,共建APM新生态;2016科大讯飞年度发布会:开放全平台语音SDK,拥抱人工智能;A...

    BestSDK
  • 图灵机器人开放知识库API,为每一位用户分配独立机器人

    图灵机器人是中文语境下智能度最高的机器人大脑,是领先的中文语义与认知计算平台,聊天对话、知识库与丰富的实用功能是该平台提供的三大基础功能。 ? 图灵机器人开放平...

    BestSDK

扫码关注云+社区

领取腾讯云代金券