api服务端接口安全

api服务端接口安全性解析

http://blog.csdn.net/tenfyguo/article/details/8225279

常用的基于token的实现方案

http://blog.csdn.net/tenfyguo/article/details/8225279

token常常用在各种应用中，如下场景：

1，用户输入密码和帐号后，系统进行验证后，生成一个session，分配一个sessionid给使用者，后续服务使用者就无需每次都输入密码和验证密码了，只需把对应的帐户和sessionid带上即可，后端只需进行高效的sessionid的有效性校验即可。解决了关键接口或者敏感接口的多次调用，并且对sessionid的有效期等可以进行管理。

2，用户授权中使用，用户输入支付密码后，代表用户已经授权了，这时候系统自动生成一个长度比较长的token串返回给服务使用者，后续进行扣款的时候，则进行验证该token串的合法性即可，注意该串需要保证一定的长度，一次性有效，并且较短的有效期等特点。

3，在开放平台中，对外外部站点的授权服务，用户授权后，同样可以给外部站点发放一个token，后续访问服务的时候，带上该token即可，避免每次均需要进行授权。

4，引申出来的应用，在一个隔离的串行服务调用中，用户完成第一步需要进行一系列的接口调用，然后得出用户是否有权限或者资格进行参加某项服务，接下来，用户调用第二步，而第二步为了安全起见，仍然需要执行第一步的一系列接口调用，这种方式下，可以在第一步合格的用户系统颁发一个token，该token是一次性有效的，实现上，可以在第一次生成一条记录，以用户帐户和token一起为key，第二次进行update该记录来判断。这样的好处是防止两步的调用被隔离带来的风险。

比如我们系统随机抽奖后给用户出现一个提示，告诉他已经中奖了，这个时候用户需要领取才能拿到奖，则可以在第一次给颁发一个token，领奖的时候把token带上进行验证即可。