Answers
推荐使用oauth2.0, 这个东东其实没那么复杂。
参见:
http://blog.csdn.net/newjueqi/article/details/7845282
YYlong
answered 9 years, 9 months ago
题主的问题不太明确,大家都是在回答怎么做身份验证
-
传输过程中的安全问题
为了防止在不安全的网络环境下传输的数据被截获和篡改,api 接口必须使用 https 协议。 -
客户端的安全问题
在客户端对数据进行对称加密再提交的意义是非常有限的,因为key被暴露在客户端代码中。如果一定要加密,可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中,防止这些数据被用户篡改。 -
服务端的安全问题
这个问题涉及面太广,关键就是不要信任任何从客户端提交上来的数据(无论你的客户端设计得多么天衣无缝),每一个参数都要做校验。
至于如何进行身份验证,属于自定义 api 协议的范畴。可以参考大家所给出的方案。
akaxxx
answered 9 years, 9 months ago
客户端使用加密算法和一个key将接口名,参数等信息加密, 例如将
http://example.com/getUser?id=100
加密为
http://example.com/decode?data=xxxxx
其中, data的值xxxxx为
getUser?id=100
加密后的值
服务器接收到data后,对data的值使用和客户端相同的算法和key进行解密, 解析接口和参数,并调用
下面是我写的一个解析方法, 供你参考下
/**
* 解码
*/
public function decode()
{
$this->load->library('mcrypt');
$data = $this->myinput->get('data', false, '');
$data = base64_decode($data);
$data = $this->mcrypt->decrypt($data);
$parse_url = parse_url($data);
$function = $parse_url['path'];
if (isset($parse_url['query'])) {
$arrQuery = explode('&', $parse_url['query']);
foreach ($arrQuery as $param) {
$item = explode('=', $param);
$_GET[$item[0]] = $item[1];
}
}
return $this->$function();
}
赏你颗大白兔
answered 9 years, 9 months ago