qq_24100549的博客

1.合理的接口命名；接口的命名必须规范优雅，在未看到接口文档时，就可以根据接口的URL明白接口的功能是什么？2.入参和出参的规范化定义，有统一的风格；一个项目内的所有接口，必须有统一的风格，统一返回格式，约定业务层错误编码，每个编码可以携带明确的错误信息。出入参字段含义明确，采用统一的命名规范，如驼峰命名等。返回格式统一采用json格式。举一个例子：{ "status": "failure", "error_code": 100003, "error_message": "未

生成一个请求url<?php$key = 'key'; //秘钥 ，非常重要，不参与url传输、秘钥泄露将导致token验证失效$data['time'] = time();$data['data'] = 'data';$data['token']= md5( md5($key) . md5($data['time']) );// 拼接url$url = 'domain.com/api.php?' . http_build_query($data);服务器端验证token

APP、前后端分离项目都采用API接口形式与服务器进行数据通信，传输的数据被偷窥、被抓包、被伪造时有发生，那么如何设计一套比较安全的API接口方案呢？一般的解决方案如下：1、Token授权认证，防止未授权用户获取数据；2、时间戳超时机制；3、URL签名，防止请求参数被篡改；4、防重放，防止接口被第二次请求，防采集；5、采用HTTPS通信协议，防止数据明文传输；一、Token授权认证HTTP协议是无状态的，一次请求结束，连接断开，下次服务器再收到请求，它就不知道这个请求是哪个用户发过来的，但是