html用ajax(Restful API)與PHP互動

因為移動端和PC端API共用，想這樣做。
html與PHP互動，用Ajax(Restful API)方式。
1.如何保證安全性？
2.有什麼要注意的地方？
3.怎樣防止被別人爆刷請求？

或者說，相比MVC有什麼優點和缺點？

回複內容：

因為移動端和PC端API共用，想這樣做。
html與PHP互動，用Ajax(Restful API)方式。
1.如何保證安全性？
2.有什麼要注意的地方？
3.怎樣防止被別人爆刷請求？

或者說，相比MVC有什麼優點和缺點？

1、安全性
web的東西，安全性是通用的，與你解決問題的方法無關。
比如輸入校正，正常的校正是兩步的（瀏覽器、伺服器），那麼對於API式的設計，是作為直接的請求，服務端對於傳入資料需嚴格校正。
再比如存取權限。API雖然是直接暴露的訪問，但是可以提供額外的必須的參數作為存取控制。而該參數的來源、方式則取決於你自己。

2、有什麼要注意的地方？
這個問題真的是太廣了。

3、爆刷
其實這個可以列入 問題1 中。
假設傳入某key值作為額外參數，那麼限定該key在一定時間內的訪問次數即可。這也僅僅是一個簡單的處理方式。
但是如果遇到疑似CSRF的攻擊，這個方式是不管用的。

實際上任何一個web應用，都可以通過抓包分析，然後自行解讀為 “偽API”(非專用詞)，然後對其做請求得到結果。爬蟲基本上就是這個法。
那麼所需要的關注的切入點就是（其實也算問題2 的回答）
1、安全
系統本身的許可權等問題的安全性原則
來自攻擊的安全防範
2、爬蟲
反爬蟲相關技術。

安全問題：如果你的資料層級比較高的話用https。
防刷：伺服器端多IP限制。客服端可以用js做一些加密字串。也是可以放刷的（但是會被破解，google的passport也是這樣做的。只不過他的js演算法很難而已）。

