由于server端和client端需要通信,所以api的安全性需要保证

1.完全开放的

一般只是查询,不能执行增、删、改的操作

裸奔的

  1. <?php
  2. public function getGoodsList($params)
  3. {
  4.     $where = [
  5.        'cat_id'=>$params['cat_id']
  6.     ];
  7.     $goods = M('Goods')->where($where)->select();
  8.     return json_encode($goods);
  9. }

2.参数加密

参数按照规则生成sign

  1. <?php
  2. public function getUserInfo($params, $appKey, $sign)
  3. {$currentSign = $this->getSign($appKey, $params);
  4.     if($sign !== $currentSign) {
  5.         return "签名不合法";
  6.     }
  7.     $where = ['id'=>$params['id']];
  8.     $user = M('User')->where($where)->select();
  9.     return json_encode($user);
  10. }

3.参数加密+时效性验证

  1. <?php
  2.  
  3. public function getUserInfo($params, $appKey, $sign, $timestamp)
  4. {
  5.     //判断请求是否过期---假设过期时间是20秒
  6.     $request_time = getDateTimeByTicks($timestamp);
  7.     if(($request_time + 20) < $_SERVER["REQUEST_TIME"]) {
  8.         return "接口过期";
  9.     }
  10.  
  11.     $currentSign = $this->getSign($appKey, $params);
  12.  
  13.     if($sign !== $currentSign) {
  14.         return "签名不合法";
  15.     }
  16.  
  17.     $where = [
  18.        'id'=>$params['id']
  19.     ];
  20.     $user = M('User')->where($where)->select();
  21.     return json_encode($user);
  22. }
  23.

4.参数加密+时效性验证+私钥

  1. <?php
  2. public function updateUserInfo($params, $appKey, $sign, $timestamp)
  3. {
  4.  
  5.     $requestTime = getDateTimeByTicks($timestamp);
  6.     if(($requestTime + 20) < $_SERVER["REQUEST_TIME"]) {
  7.         return "接口过期";
  8.     }
  9.  
  10.     // 根据appkey查库获取appSecret值
  11.     $appSecret = M('Setting')->where(['appKey'=> $appKey])->getField('appSecret');
  12.  
  13.     //检验签名是否合法
  14.     $currentSign = $this->getSign($appKey, $appSecret, $params);
  15.  
  16.     if($sign !== $currentSign) {
  17.         return "签名不合法";
  18.     }
  19.  
  20.     $where = ['id'=>$params['id']];
  21.     unset($params['id']);
  22.     $data = M('User')->where($where)->save($params);
  23.     return json_encode($data);
  24. }

5.参数加密+时效性验证+私钥+Https

为了提高安全性,再增加https的双向验证模式

生成签名的方法:

  (1)对除签名外的所有请求参数按key做生序排列

     如:age=18,name=123,timestamp=123456

  (2)把参数名和参数值连接成字符串 
     如:age18_name123_timestamp123456

  (3)用申请到的appkey连接到拼装字符串头部和尾部,然后进行32位MD5加密,将到得MD5加密摘要转化成大写

    如:appkey='bb',md5('bbage18_name123_timestamp123456bb')

      sign='3FFDD2399A23FB7B5D6D99AA84F9A6E3'

服务端API安全解决方案的更多相关文章

  1. .Net分布式异常报警系统-客户端及服务端API

    客户端 客户端的作用就是捕获未处理异常, 发送异常到服务端. 关于捕获未处理异常的方法参考 http://www.cnblogs.com/youring2/archive/2012/04/25/246 ...

  2. 安卓推送——个推服务端api使用误区

    首先你需要在个推开放着平台上注册你的应用,以及获得以下几个必要的值APPID |APPKEY | MASTERSECRET,本文假设你已经完成上述步骤以及完成客户端SDK的集成. 原理 个推服务端ap ...

  3. Identity4实现服务端+api资源控制+客户端请求

    准备写一些关于Identity4相关的东西,最近也比较对这方面感兴趣.所有做个开篇笔记记录一下,以便督促自己下一个技术方案方向 已经写好的入门级别Identity4的服务+api资源访问控制和简单的客 ...

  4. JAVA通过http访问其他服务端API

    项目要实现这么一个功能,用户通过点击按钮,通过axios来访问python的API(算法,java不好做)得到一个结果存储到数据库并且返回到页面. 但是python不是在tomcat上面运行的,所以不 ...

  5. 服务端API 工作经验(没有工作的是体会不到的)

    1.慢慢了解以下内容 [{xx:xxx,xx:xxx},{xx:xxx,xx:xxx},{xx:xxx,xx:xxx},]-- 数据 data 服务端API 状态代码(01代表成功) message ...

  6. CMDB学习之五服务端api

    服务端api 对发送来的数据进行处理,并返回结果,首先要创建一个Django项目 第一步,就是写URL路由在分支中写url api 主路由 from django.conf.urls import u ...

  7. C#开发BIMFACE系列6 服务端API之获取文件信息

    在<C#开发BIMFACE系列4 服务端API之源上传文件>.<C#开发BIMFACE系列5 服务端API之文件直传>两篇文章中详细介绍了如何将本地文件上传到BIMFACE服务 ...

  8. C#开发BIMFACE系列4 服务端API之源上传文件

    在注册成为BIMFACE的应用开发者后,要能在浏览器里浏览你的模型或者获取你模型内的BIM数据, 首先需要把你的模型文件上传到BIMFACE.根据不同场景,BIMFACE提供了丰富的文件相关的接口. ...

  9. C#开发BIMFACE系列3 服务端API之获取应用访问凭证AccessToken

    系列目录     [已更新最新开发文章,点击查看详细] BIMFACE 平台为开发者提供了大量的服务器端 API 与 JavaScript API,用于二次开发 BIM 的相关应用. BIMFACE ...

随机推荐

  1. 封装篇——图片模块(Glide)

    如今市面上差点儿全部的app都用到了图片,图片模块的开发是app开发中不可缺少的一块工作, 开源的力量是强大的.好多优秀的第三方项目能够任君使用,帮助我们提高效率.而且不须要反复造轮子,这边我採用的是 ...

  2. MySQL的MVCC

    基本概念 Multi-Version Concurrency Control 多版本并发控制,MVCC 是一种并发控制的方法,一般在数据库管理系统中,实现对数据库的并发访问:在编程语言中实现事务内存. ...

  3. C语言 · 乘法运算

    算法提高 乘法运算   时间限制:1.0s   内存限制:512.0MB      问题描述 编制一个乘法运算的程序. 从键盘读入2个100以内的正整数,进行乘法运算并以竖式输出. 输入格式 输入只有 ...

  4. 简单防范SYN_RECV攻击

    netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 这条语句返回结果如下 TIME_WAIT FIN_WAIT1 ...

  5. svn cleanup失败

    今天用SVN的时候出现被锁定的情况,既不能更新代码也不能提交. 解决方法如下: 1. 在被锁定的文件夹上点右键,找到并点击Clean up菜单项 2. 在Cleanup对话框中勾选“Break loc ...

  6. TopComponent设置某个控件焦点

    仅仅在 @Override public void componentOpened() { syncBtn.requestFocus(); } 中指定还不够,还需要重载 @Override publi ...

  7. mininet安装与简单命令总结

    下载地址:http://mininet.org/ 我下载的是mininet镜像,用于导入windows Vmware中使用 用户名和密码都是mininet 下载后 导入VMware即可 建立一个简单的 ...

  8. 深入浅出LVM on linux

    什么是LVM? 什么是LVM?LVM(Logical Volume Manager)逻辑卷管理,是一种将一个或多个硬盘的分区在逻辑上集合,相当于一个大硬盘来使用,当硬盘的空间不够使用的时候,可以继续将 ...

  9. 通过用户名、密码提交的方式搭建私有git服务端

    1. 系统环境 centos git yum -y install git 2).创建属于自己的git库 mkdir /myGit git init --bare xiangyun.git 3). 添 ...

  10. 【转】【WPF】WPF为stackpanel设置滚动条

    <ScrollViewer x:Name="scrolls" VerticalScrollBarVisibility="Auto" HorizontalS ...