用过oauth2.0以及简单的token验证两种方法，后者最为简单。服务端和客户端约定好一个密钥，比如叫做123456789,然后把每次请求的参数key用字典序排好，然后和这个密钥md5一下，服务端按照相应的算法解密，如果一致，pass，否则，game over

题主的意思应该不是鉴权，而是担心数据被中间人看到！如果是这样的话可以启用https

每次请求接口的时候 验证下access_token，比如这个token是个 MD5值，再在这个值上面加几个随机数，这这值就不是MD5的值了，可破解的难道就大大增加了。

 if($_POST['access_token']!=$access_token)
{
    exit('access_token error'); //每次访问接口的时候 必须先调用验证token的判断。

}

推荐使用oauth2.0, 这个东东其实没那么复杂。
参见： http://blog.csdn.net/newjueqi/article/details/7845282

oauth 看看一些开发平台是怎么做的

题主的问题不太明确，大家都是在回答怎么做身份验证

1. 传输过程中的安全问题
   为了防止在不安全的网络环境下传输的数据被截获和篡改，api 接口必须使用 https 协议。

2. 客户端的安全问题
   在客户端对数据进行对称加密再提交的意义是非常有限的，因为key被暴露在客户端代码中。如果一定要加密，可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中，防止这些数据被用户篡改。

3. 服务端的安全问题
   这个问题涉及面太广，关键就是不要信任任何从客户端提交上来的数据（无论你的客户端设计得多么天衣无缝），每一个参数都要做校验。

至于如何进行身份验证，属于自定义 api 协议的范畴。可以参考大家所给出的方案。

客户端使用加密算法和一个key将接口名,参数等信息加密, 例如将
http://example.com/getUser?id=100
加密为
http://example.com/decode?data=xxxxx

其中, data的值xxxxx为 getUser?id=100 加密后的值

服务器接收到data后,对data的值使用和客户端相同的算法和key进行解密, 解析接口和参数,并调用

下面是我写的一个解析方法, 供你参考下

 /**
     * 解码
     */
    public function decode()
    {
        $this->load->library('mcrypt');
        $data      = $this->myinput->get('data', false, '');
        $data      = base64_decode($data);
        $data      = $this->mcrypt->decrypt($data);
        $parse_url = parse_url($data);
        $function  = $parse_url['path'];
        if (isset($parse_url['query'])) {
            $arrQuery = explode('&', $parse_url['query']);
            foreach ($arrQuery as $param) {
                $item           = explode('=', $param);
                $_GET[$item[0]] = $item[1];
            }
        }
        return $this->$function();
    }