phpcms中写个获取系统中所有客户信息的API接口,访问该接口获取数据需要先验证身份,
参考以前朋友写的登陆状态验证,发现只是使用cookies确认登陆状态,cookies毕竟是存放在客户端的东西,可能被伪造,所以感觉不太放心,便加上个数据库验证。
<?php
defined('IN_PHPCMS') or exit('No permission resources.');
$session_storage = 'session_'.pc_base::load_config('system','session_storage');
$param = pc_base::load_sys_class('param');
function is_login(){
//获取cookies中的信息并处理获取用户id和密码
$phpcms_auth = param::get_cookie('auth');
$auth_key = $auth_key = get_auth_key('login');
list($userid, $password) = explode("\t", sys_auth($phpcms_auth, 'DECODE', $auth_key));
//如cookies中信息为空,则直接放弃核验返回false,以提高执行效率
if(!$userid || !$password) return false;
//防止客户端伪造cookies 将获取的用户id和密码在数据库中核验
$db=pc_base::load_model('member_model'); //载入用户数据模型
//数据库核验
$r = $db->get_one(array('userid'=>$userid,'password'=>$password));
if(!$r) return false; //核验不符 返回false
return true; //核验通过 返回true
}
//如验证不通过,返回JSON格式信息并终止执行后续代码
if(!is_login()) exit(json_encode(array("status"=>-1,"msg"=>"身份不明故拒绝请求")));
//身份校验通过,以下执行更多操作...
....
$api->json($datas); //响应请求,返回JSON格式数据
?>
本文由 www.UE4.net 原创提供 黄韬 QQ:95606117,转载请注明