如何解決thinkphp在app接口開發(fā)過程中的安全驗證問題

這篇文章給大家分享的是有關如何解決thinkphp在app接口開發(fā)過程中的安全驗證問題的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

對于我們寫好的接口，如果不經(jīng)過安全認證就可以直接訪問的話，則將對我們網(wǎng)站產(chǎn)生非常大的安全隱患，一些hack可能直接用你的接口去操作數(shù)據(jù)庫，后果無法估量。

那么如何才能進行有效的安全驗證呢？

這里采用了微信開發(fā)中的access_token機制，讓app前端開發(fā)工程師通過提交appid和appsecert來獲取token,服務器端對token緩存7200秒，客戶端如果每次都直接請求token則token每次都會重置；

所以推薦客戶端也一樣進行緩存，客戶端可以通過判斷本地token是否存在，如果存在則直接用token做參數(shù)去訪問我們的api，服務端判斷token的有效性并給予相應的返回，客戶端緩存的token如果失效了,就直接再請求獲取token，思路大概就是這樣，下面提供了完整的參考代碼，如果有更好的方法，也可留言

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public $appid = 'dmm888';    
    public $appsecret = 'http://cnblogs.com/dmm888';
    
    public function index(){
        $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微軟雅黑"; color: #333;font-size:24px} h2{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h2>:)</h2><p>歡迎使用 <b>ThinkPHP</b>！</p><br/>[ 您現(xiàn)在訪問的是Home模塊的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
    }
    public function  test(){
        if(!isset($_GET['token'])){
            $this->apiReturn(4001,'invalid token');
        }else if(!S($_GET['token'])){            
            $this->apiReturn(4001,'invalid token');
            
        }
 
        $data = array(
            'id'=>2,
            'username'=>'明之暗夜',
            'info'=>array('age'=>24,'address'=>'學府路','url'=>'http://cnblogs.com/dmm888')
        );
        if($data){
            $this->apiReturn(200,'讀取用戶信息成功',$data,xml);
        }
    }
    public function getToken(){
        $ori_str = S($this->appid.'_'.$this->appsecret);   //這里appid和appsecret我寫固定了，實際是通過客戶端獲取  所以這里我們可以做很多 比如判斷appid和appsecret有效性等
        if($ori_str){       //重新獲取就把以前的token刪除
            S($ori_str,null);
        }
        //這里是token產(chǎn)生的機制  您也可以自己定義
        $nonce = $this->createNoncestr(32);
        $tmpArr = array($nonce,$this->appid,$this->appsecret);
        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );
        // echo $tmpStr;
        //這里做了緩存 'a'=>b 和'b'=>a格式的緩存
        S($this->appid.'_'.$this->appsecret,$tmpStr,7200);  
        S($tmpStr,$this->appid.'_'.$this->appsecret,7200);
    }
     /**
     *  作用：產(chǎn)生隨機字符串，不長于32位
     */
     function createNoncestr( $length = 32 ) 
    {
        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";  
        $str ="";
        for ( $i = 0; $i < $length; $i++ )  {  
            $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);  
        }  
        return $str;
    }     
}

具體怎么驗證我就不用寫了吧，這樣我們只需把appid和appsecret給app前端開發(fā)者 并告訴他怎么用就可以了 token就是唯一令牌 只有token有效才可以向下執(zhí)行 從而安全性可以得到一定保證 。

感謝各位的閱讀！關于“如何解決thinkphp在app接口開發(fā)過程中的安全驗證問題”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！