php api_token 與 user_token 簡析

標籤：_id   現在   bsp   拒絕訪問   模組名   alt   highlight   --   通過   

前言：

--->非開放性平台

--->公司內部產品

 

介面特點匯總：

1、因為是非開放性的，所以所有的介面都是封閉的，只對公司內部的產品有效；

2、因為是非開放性的，所以OAuth那套協議是行不通的，因為沒有中間使用者的授權過程；

3、有些介面需要使用者登入才能訪問；

4、有些介面不需要使用者登入就可訪問；

 

針對以上特點，移動端與服務端的通訊就需要2把鑰匙，即2個token。

第一個token是針對介面的（api_token）；

第二個token是針對使用者的（user_token）；

 

先說第一個token（api_token）

 

它的職責是保持介面訪問的隱蔽性和有效性，保證介面只能給自家人用，怎麼做到？參考思路如下：

現在的介面基本是mvc模式，URL基本是restful風格，URL大體格式如下：

http://cnblogs.com/模組名/控制器名/方法名?參數名1=參數值1&參數名2=參數值2&參數名3=參數值3

 

介面token建置規則參考如下：

api_token = md5 (‘模組名‘ + ‘控制器名‘ + ‘方法名‘ + ‘2013-12-18‘ + ‘加密金鑰‘) = 770fed4ca2aabd20ae9a5dd774711de2

其中的 

1、 ‘2018-06-03‘ 為當天時間，

2、‘加密金鑰‘ 為私人的加密金鑰，手機端需要在服務端註冊一個“介面使用者”帳號後，系統會分配一個帳號及密碼，資料表設計參考如下：

欄位名	欄位類型	注釋
client_id	varchar(20)	用戶端ID
client_secret	varchar(20)	用戶端(加密)密鑰

（註：只列出了核心欄位，其它的再擴充吧！！！）

 

服務端介面校正，PHP實現流程如下：

<?php// 1、擷取 GET參數 值$module = $_GET[‘mod‘];$controller = $_GET[‘ctl‘]$action = $_GET[‘act‘];$client_id = $_GET[‘client_id‘];$api_token = $_GET[‘‘api_token];// 2、根據用戶端傳過來的 client_id ，查詢資料庫，擷取對應的 client_secret$client_secret = getClientSecretById($client_id);// 3、服務端重建一份 api_token$api_token_server = md5($module . $controller . $action .  date(‘Y-m-d‘, time()) .  $client_secret);// 4、用戶端傳過來的 api_token 與服務端產生的 api_token 進行校對，如果不相等，則表示驗證失敗if ($api_token != $api_token_server) {    exit(‘access deny‘);  // 拒絕訪問}// 5、驗證通過，返回資料給用戶端//。。。?>

　　

 

再說第二個token（user_token）

 

它的職責是保護使用者的使用者名稱及密碼多次提交，以防密碼泄露。

如果介面需要使用者登入，其訪問流程如下：

1、使用者提交“使用者名稱”和“密碼”，實現登入（條件允許，這一步最好走https）；

2、登入成功後，服務端返回一個 user_token，建置規則參考如下：

服務端用資料表維護user_token的狀態，表設計如下：

欄位名	欄位類型	注釋
user_id	int	使用者ID
user_token	varchar(36)	使用者token
expire_time	int	到期時間（Unix時間戳記）

（註：只列出了核心欄位，其它的再擴充吧！！！）

服務端產生 user_token 後，返回給用戶端（自己儲存），用戶端每次介面請求時，如果介面需要使用者登入才能訪問，則需要把 user_id 與 user_token 傳回給服務端，服務端接受到這2個參數後，需要做以下幾步：

1、檢測 api_token的有效性；

2、刪除到期的 user_token 表記錄；

3、根據 user_id，user_token 擷取表記錄，如果表記錄不存在，直接返回錯誤，如果記錄存在，則進行下一步；

4、更新 user_token 的到期時間（延期，保證其有效期間內連續操作不掉線）；

5、返回介面資料；

介面用例如下：

 

1、發布日誌

URL：             http://www.cnblogs.com/klsfct/p/9110590.html?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12

請求方式：  POST

POST參數：title=我是標題&content=我是內容

返回資料：

{
      ‘code‘ => 1, // 1:成功 0:失敗
      ‘msg‘ => ‘操作成功‘ // 登入失敗、無權訪問
      ‘data‘ => []
}

 

php api_token 與 user_token 簡析