php api_token 与 user_token 简析
转载自:http://blog.snsgou.com/post-766.html
--->非开放性平台
--->公司内部产品
接口特点汇总:
1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;
2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;
3、有点接口需要用户登录才能访问;
4、有点接口不需要用户登录就可访问;
针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。
第一个token是针对接口的(api_token);
第二个token是针对用户的(user_token);
先说第一个token(api_token)
它的职责是保持接口访问的隐蔽性和有效性,保证接口只能给自家人用,怎么做到?参考思路如下:
现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下:
http://blog.snsgou.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2&参数名3=参数值3
接口token生成规则参考如下:
api_token = md5 ("模块名" + "控制器名" + "方法名" + "2013-12-18" + "加密密钥") = 770fed4ca2aabd20ae9a5dd774711de2
其中的
1、 "2013-12-18" 为当天时间,
2、"加密密钥" 为私有的加密密钥,手机端需要在服务端注册一个“接口使用者”账号后,系统会分配一个账号及密码,数据表设计参考如下:
| 字段名 | 字段类型 | 注释 |
| client_id | varchar(20) | 客户端ID |
| client_secret | varchar(20) | 客户端(加密)密钥 |
(注:只列出了核心字段,其它的再扩展吧!!!)
服务端接口校验,PHP实现流程如下:
01 |
<?php |
02 |
//
1、获取 GET参数 值 |
03 |
$module = $_GET["mod"]; |
04 |
$controller = $_GET["ctl"] |
05 |
$action = $_GET["act"]; |
06 |
$client_id = $_GET["client_id"]; |
07 |
$api_token = $_GET[""api_token]; |
08 |
09 |
//
2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret |
10 |
$client_secret =
getClientSecretById($client_id); |
11 |
12 |
//
3、服务端重新生成一份 api_token |
13 |
$api_token_server =
md5($module . $controller . $action . date("Y-m-d",
time()) . $client_secret); |
14 |
15 |
//
4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败 |
16 |
if ($api_token != $api_token_server)
{ |
17 |
exit("access
deny"); //
拒绝访问 |
