PHP token设计

接口特点汇总：

1、因为是非开放性的，所以所有的接口都是封闭的，只对公司内部的产品有效；

2、因为是非开放性的，所以OAuth那套协议是行不通的，因为没有中间用户的授权过程；

3、有的接口需要用户登录才能访问；

4、有的接口不需要用户登录就可访问；

针对以上特点，移动端与服务端的通信就需要2把钥匙，即2个token。

第一个token是针对接口的（api_token），参数校验；

第二个token是针对用户的（user_token），登录校验；

一：api_token：它的职责是保持接口访问的隐蔽性和有效性，保证接口只能给自家人用（关键点：加密密钥）

思路如下：

现在的接口基本是mvc模式，URL基本是restful风格，URL大体格式如下：

http://api.XXX.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2&参数名3=参数值3

接口token生成规则参考如下：

api_token = md5 ('模块名' + '控制器名' + '方法名' + '2019-11-18' + '加密密钥') = e3e227abc479c55aa500fbc9fa6df318

其中的 

1、 '2019-11-18' 为当天时间，

2、'加密密钥' 为私有的加密密钥，手机端需要在服务端注册一个“接口使用者”账号后，系统会分配一个账号及密码，数据表设计参考如下：

字段名   |  字段类   |  型注释

device_id   |  varchar(20)    |  客户端ID

device_secret    |  varchar(20)    |  客户端(加密)密钥

 

服务端接口校验思路如下：

首先校验是否有不需要验证的路由

//不需要验证的 直接返回true
if (!in_array($rule, $this->out_rule_route))

根据客户端传过来的 device_id   ，查询数据库，获取对应的 device_secret    

服务端重新生成一份 api_token

客户端传过来的 api_token 与服务端生成的 api_token 进行校对，

如果不相等，则表示验证失败；验证通过，返回数据给客户端

二：user_token：它的职责是保护用户的用户名及密码多次提交，以防密码泄露。

用户登录，访问流程如下：

1、用户提交“用户名”和“密码”，实现登录（这一步最好走https）；

2、登录成功后，服务端返回一个 user_token，生成规则参考如下：

服务端用数据表维护user_token的状态，表设计如下：

CREATE TABLE `user_token` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `user_id` bigint(20) NOT NULL DEFAULT '0' COMMENT '用户id',
  `expire_time` int(10) unsigned NOT NULL DEFAULT '0' COMMENT ' 过期时间',
  `create_time` int(10) unsigned NOT NULL DEFAULT '0' COMMENT '创建时间',
  `token` varchar(64) NOT NULL DEFAULT '' COMMENT 'token',
  `device_type` varchar(10) NOT NULL DEFAULT 'wxapp' COMMENT '设备类型;mobile,android,iphone,ipad,web,pc,mac,wxapp',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户客户端登录 token 表';

服务端生成 user_token 后，返回给客户端（自己存储），客户端每次接口请求时，如果接口需要用户登录才能访问，则需要把 user_id 与 user_token 传回给服务端，服务端接受到这2个参数后，需要做以下几步：

1、检测 api_token的有效性（非校验路由，直接跳过）；

2、删除过期的 user_token 表记录；

3、根据 user_id，user_token 获取表记录，如果表记录不存在，直接返回错误，如果记录存在，则进行下一步；

4、更新 user_token 的过期时间（延期，保证其有效期内连续操作不掉线）；

5、返回接口数据；