PHP开发APP接口安全设计

最新推荐文章于 2024-07-08 11:08:34 发布
最新推荐文章于 2024-07-08 11:08:34 发布
阅读量1.3k 收藏 8
点赞数 1
分类专栏: API接口 文章标签: api接口安全 php接口安全设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42005284/article/details/89331070
版权

最近做了一个开发APP接口的项目, 和大家分享以下接口安全方面的几个要点

接口安全问题
为防止接口被恶意使用, 数据抓包, 防范 增, 删, 改 等敏感接口被使用的情况,
服务端接口安全设计是很重要的一部分
一般通过以下几种方式结合 使用

1, token (授权)
用户登录后的唯一标识, 登陆时, 得到用户数据库中的唯一标识信息(如uid), 通过一定方式加密后, 生成token, 返回给客户端工
程师, 并存入服务端缓存, 当用户客户端请求一个需要登录才可以访问的接口是, 查看使用携带参数token, 并查看缓存中是否有
此token, 没有就禁止接口通行

2, Timestamp (时间戳限制)
客户端请求接口时携带时间戳
客户端接收后 判断时间戳与服务端当前时间戳相差若 > 3s, 就可以禁止接口通行

3, sign (签名)
客户端携带由请求参数的key1=val1&key2=val2 组成的加密签名字符串, 算法例如

sign = md5('apptype=android&model=sanxing&timestamp=1555386454&key=*******');
加密方式可以使用md5或SHA-1,base64等可解密或不可解密方式加密
其中key 作为私钥, 有客户端和服务端人员约定, 不参与参数传递

4, sign唯一
若有人获取了此次请求的参数与url, 并在时间戳过期时间内请求的话, 也同样可以使用此接口
可以用sign在限制这一点,把每次请求的sign缓存, 判断sign存在, 禁止接口通行

赵老仙
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP API请求安全效验
01-28
PHP开发API接口请求前后端效验,附带源码,ThinkPHP开发,伸手党可直接复制粘贴上路
php-app开发接口加密详解
10-18
PHP-APP开发中,接口加密是确保数据安全和防止中间人攻击的重要步骤。本文将深入探讨一套具体的接口加密规则,适用于PHP应用的接口通信。 首先,客户端在调用接口时,遵循以下规则: 1. **动态调用接口**:通过...
PHP API接口安全方案
最新发布
m0_60591287的博客
07-08 331
通过全面评估接口安全风险、采取多种安全措施和加强代码安全性以及建立监控和应急响应机制等手段,我们可以有效地提升PHP API接口安全性水平,保障用户数据的安全和系统的稳定运行。照这么推测的话,我们也需要不断学习和掌握新的安全技术和方法,以适应不断变化的网络安全环境。而当我们提到PHP API接口安全方案时,实际上是指为了保障这些交互过程中的数据安全和完整性所采取的一系列措施和策略。因此,制定和执行PHP API接口安全方案不仅是为了保障系统安全稳定和用户数据安全,更是为了遵守法律法规和维护企业形象。
php接口安全设计浅谈
weixin_30897079的博客
08-02 205
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: (1)Token授权机制:(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说...
php接口安全设计知识点
yshir
05-15 358
PHPAPP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数据和access_key使用加密算法生成签名signature,并将signature和session_id一起
phpAPP接口开发,接口安全
weixin_30409849的博客
04-20 132
1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session(或者保存在redis)中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数据和access_key...
php接口安全
qq_43748417的博客
04-25 901
php接口安全浅谈:https://www.cnblogs.com/zouke1220/p/9394356.html Laravel Repository (仓库模式) https://www.cnblogs.com/Stone--world/p/4756043.html sql注入的防范:https://www.cnblogs.com/wanzhongjun/p/6406268.html sq...
thinkphp5高效安全APP接口开发教程
12-30
在本教程中,我们将深入探讨如何使用ThinkPHP5框架高效且安全开发应用程序接口API)。ThinkPHP5是一个基于PHP的轻量级、快速且强大的开发框架,特别适合构建RESTful API,为移动应用、Web应用以及后台服务提供...
浅谈使用 PHP 进行手机 APP 开发API 接口开发
10-25
API 的人应该了解,其实开发 API开发 WEB 更简洁,但可能逻辑更复杂,因为 API 其实就是数据输出,不用呈现页面,所以也就不存在 MVC(API 只有 M 和 C),那么我们来探讨下,如何使用php进行手机API接口开发
PHP APP开发 token 生成与验证封装类
07-18
PHP 在做APP后台时用到的TOKEN验证功能,现已封装成类,使用很方便,有完整的生成与验证机制,可控制TOKEN过期时间,生成端经过加密处理生成的TOKEN字符,验证端解密后再验证TOKEN真正的TOKEN也是经过加密验证的,二...
PHP开发APP接口案例(21讲)
05-22
PHP开发APP接口案例(21讲)PHP开发APP接口案例(21讲)PHP开发APP接口案例(21讲)
php数据接口安全设计
yshir
08-22 623
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: (1)Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请...
一套PHPapp接口的解决方案
热门推荐
AndyLizh的专栏
09-10 3万+
服务端用php+mysql给ios的app客户端做一套api,需要怎么去考虑和实现安全性方面的问题?服务端这边预先设定了一个appid和一个appkey给到了客户端的开发者,接口可以使用http或者https方式请求(最好可以使用http)方式! 处于安全考虑,应当在传值的时候加个验证字段,比如...?token=wedwdwfwf,将token值进行判断后再决定是否给予返回值,你还可以
PHPAPP接口时,如何保证接口安全性??????????
weixin_30840573的博客
09-30 482
PHPAPP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数...
学习路之PHP--TP开发接口:接口安全设计
Green
09-04 622
1.防止大量访问 采用时间戳,time。两个比较,如果不等。2.防止修改数据 比对token。
移动APP接口安全设计
weixin_30653023的博客
07-14 359
移动APP接口是怎么保证安全性的,可以采用https,或者是非对称加密。 接口加密的目的是防止被别人用抓包工具,抓包后篡改数据。 关于加密算法常见的有对称加密(DES)和非对称加密(RSA) 对称加密(DES):加密和解密用的是同一个密钥 import java.security.SecureRandom; import javax.crypto.Cipher; import ja...
php api接口安全设计 sign
mengzuchao的专栏
09-20 2707
一. url请求的参数包括:timestamp,token, username,sign 1. timestamp: 时间戮 2. token: 登陆验证时,验证成功后,生成唯一的token(可以为uuid),并把token储存到缓存(redis)里 ,键为username,值为token 3. username: 用户名,保证唯一 4. sig...
PHP 如何保证接口安全
荒的博客
09-06 425
一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输;
PHP接口数据安全解决方案(一)
withoutfear的博客
10-08 902
前言 目录介绍 登录鉴权图 接口请求安全性校验整体流程图 代码展示 演示用户登录 演示获取用户信息 文章完整代码地址 后记 前言 目的: 1.实现前后端代码分离,分布式部署 2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署 3.利用sign,前端按照约定的方式组合加密生成字符串来校验用户传递的参数跟后端接收的参数是否一直,保障接口数据传递的安全 4.利用no
laravel php接口开发
06-08
如果你想使用 Laravel 开发接口,可以使用 Laravel 自带的路由系统来定义接口路由,并在路由回调中处理请求和响应。 以下是一个使用 Laravel 开发接口的简单示例: ```php Route::get('/api/users', function () {...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值