php开发API接口的安全认证方法总结

最新推荐文章于 2022-08-05 14:44:53 发布
最新推荐文章于 2022-08-05 14:44:53 发布
阅读量929 收藏 1
点赞数
文章标签: php 数据库
原文链接:https://my.oschina.net/u/3647687/blog/1535302
版权

这个必须要做,隐藏在app里的接口如果没有认证,现在hack app的人这么多,很快就会被人发现,用来直接操作数据库。

直观总结方法二:

1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
有点:防止了服务器端api被随意调用。
缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。

2.第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
每次请求带上cookie。
点评:和pc上浏览器认证的原理一样了。

        以上两点,只有注册用户,才能有权访问业务逻辑,而app有大量的不需要注册数据api

重点:

3.制定一个token生成规则,按某些服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器收到请求也校验这个串。
缺点:随机串生成规则要保密。
比如:一个使用php框架的工程,框架每次交互都会有 module和action两个参数做路由,这样的话,我就可以用下边这个规则来生成token

app要请求用户列表,api是“index.php?module=user&action=list”
app生成token = md5sum ('user'.'2012-11-28'.'#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;
实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”

服务器端接到请求用同样方法计算token,

<?php
$module = $_GET['module'];
$action = $_GET['action'];
$token = md5sum($module.date('Y-m-d',time()).'#$@%!*'.$action);
if($token != $_GET['token']){
    alarm('access deny');
    exit();
}
?>

先提这三个,都在项目中用过。

转载于:https://my.oschina.net/u/3647687/blog/1535302

chenyy2050
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP API请求安全效验
01-28
PHP开发API接口请求前后端效验,附带源码,ThinkPHP开发,伸手党可直接复制粘贴上路
PHP开发api接口安全验证操作实例详解
10-15
PHP开发中,API接口安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
PHP Api 接口认证
a1038546502的专栏
09-17 343
开发环境 ubuntu php 7.4.8 ------------------------------------------------------------------------------------------------------------------------------ /* 私钥签名 * @param $string * @param $key * @return string * */ function privateSign($string , $
PHP开发api接口安全验证的实例,值得一看
axfcjwkbi259888707的博客
10-09 314
phpapi接口 在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 示意图 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。...
php api权限控制,API接口要怎样实现权限控制?
weixin_31188927的博客
03-10 894
怎样防止别人调用API用什么方法来对API接口进行控制?当不合法的请求接口的时候不返回数据回复内容:怎样防止别人调用API用什么方法来对API接口进行控制?当不合法的请求接口的时候不返回数据加签名验证就行。提供密钥进行MD5。首先,安全起见,最好使用HTTPS通信,以防止中间人截获。其次,在HTTPS的前提下,对于API访问权限控制可以在,请求头里面添加一个字段传输Token(或者直接放在URL里...
php接口开发 安全_php开发API接口安全认证方法总结
weixin_34553861的博客
03-09 186
这个必须要做,隐藏在app里的接口如果没有认证,现在hack app的人这么多,很快就会被人发现,用来直接操作数据库。直观总结方法二:1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。有点:防止了服务器端api被随意调用。缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。2.第一次请求,要求username和password,验证通过,种c...
Laravel5.4简单实现app接口Api Token认证方法
01-02
开发中许多 API 通常在返回响应之前都需要某种形式的认证,有些时候,一个认证的请求和一个未认证的请求,响应可能不同。 在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇...
PHP开发API接口签名生成及验证操作示例
10-15
API接口开发中,签名生成和验证是确保数据安全性和防止篡改的重要环节。本文将深入探讨PHP中如何实现这一功能,结合实例详细解析签名生成及验证的操作步骤。 首先,API接口签名的主要目的是为了保证请求的完整性...
基于Laravel 8.x的API接口签名认证系统
06-30
在本套课程里,我将...在完成上述功能后,我们会带领大家将我们实现的基于接口签名认证的用户认证接口认证逻辑封装成Laravel扩展包,从而使得我们的代码与Laravel核心框架解耦,以保证功能上的独立性和可复用性。
APISpace 驾驶证信息核验 API接口 PHP调用示例代码
05-09
该示例代码适用于 www.apispace.com 网站下 API,使用该产品前,您需要通过以下链接订阅服务:https://www.apispace.com/chuanglan/api/253-jszxxhyt/api/
PHP 对外提供API
weixin_33726313的博客
03-09 435
2019独角兽企业重金招聘Python工程师标准>>> ...
php接口安全
qq_43748417的博客
04-25 899
php接口安全浅谈:https://www.cnblogs.com/zouke1220/p/9394356.html Laravel Repository (仓库模式) https://www.cnblogs.com/Stone--world/p/4756043.html sql注入的防范:https://www.cnblogs.com/wanzhongjun/p/6406268.html sq...
php api权限控制,关于接口权限控制以及rbac
weixin_36212212的博客
03-10 660
分端实现权限控制最常见的接口权限控制就是分端形式了,不同的端实现不同的接口,一个用户登录后,只能访问这个端的接口,而不能去访问其他端的接口.例如:商城有商家端,管理端,买家端,各个端之间账号互不相通.每个端对订单的操作逻辑也不一样用户端只能新建,查看订单商家端只能查看订单,发货订单管理端只能查看订单代码结构大致为:├──Admin管理端│└──Order订单│└──...
php restful 认证,yii2 restful api 风格搭建(二)接口认证
weixin_28756347的博客
03-10 412
最近在研究如何利用 yii2 搭建 restful api,将 yii2 restful api / yii2 rest api 搭建心得写下,欢迎一起讨论做完了yii2 restful api 搭建,就需要进行 auth 接口认证和定义返回码了一、yii2 支持的 3种认证方式1、HTTP 基本认证: \yii\filters\auth\HttpBasicAuth支持两种认证方式,输入用户名和密...
空号检测php接口
QQ799629269
08-05 2693
空号检测,也称号码检测,空号过滤,号码筛选等,是基于运营商大数据及流量使用情况返回手机号码状态,比如 实号、空号、风险号 等。进行电话之前,把通过检测的空号、错号、停机等无效数据过滤掉,避免把大量时间浪费在无效号码上,提高工作效率。短信群发之前先对发送的手机号码进行检测,去除空号、错号、停机等无效数据,从而节约短信发送成本。通过空号错号检测过滤无效名单,提升公司手中企业名录的精准度,增强数据的市场竞争力。空号检测已经广泛被使用于短信群发、电话营销、呼叫中心外包、企业名录等行业。...
APP接口设计安全问题
热门推荐
AndyLizh的专栏
09-10 6万+
PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
PHP开发api接口安全验证
Yan 小铁匠
04-09 6302
场景 在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 url 拦截规则,验证 用户登陆,验证成功后,生成token,缓存(username->token)并返回给客户端 ...
~PHP开发api接口安全验证 详解
qq_41642932的博客
01-29 2983
phpapi接口 在实际工作中,使用PHPapi接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 示意图 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 时间戳:当前时间 随...
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 798
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
php开发接口jwt使用,PHP如何使用JWT做Api接口身份认证的实现
最新发布
06-01
JWT是一种基于JSON的Web Token,它可以用来在不同应用之间安全传递信息。在PHP开发中,可以使用一些第三方库来实现JWT的生成和验证。...在API接口中,还需要使用其他授权和权限控制技术来保护API资源的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值