來源:互聯網
上載者:User
關鍵字
thinkphp
restful
php
javascript
api
前端js的ajax 調用PHP寫的API介面,如何卡主安全性,防止非法調用呢?
回複內容:
前端js的ajax 調用PHP寫的API介面,如何卡主安全性,防止非法調用呢?
我在一個WebAPP項目中遇到了題主的這個問題。由於API是為APP準備的,因此在WebAPP中使用ajax和api進行互動也不得不按照app與api互動時的使用習慣。
在向api發出請求的時候,可能有兩種情況,一種是使用者登入,一種是未登入。無論哪一種情況,都可以採用下面的這種思路,但在使用token時使用不同的token即可。登入使用者使用登入時服務端產生的帶nonce的token,是唯一的,而未登入使用者app在請求時,攜帶的是一個服務端和用戶端約定好的token(儘可能保密)。
在api設計時,儘可能的遵循restful風格,因此,在提交的資訊中,用於鑒權的token被放在header中,token鑒權是設計我是這樣的思路:
app登入,服務端建立token(token為經過加密後的字串,可被解密,解密後的資料中包含登入的使用者資訊或非使用者登入狀態下的約定好的token),並且將app與server端的時間差一併儲存在redis中,並將token返回給app,app將其儲存在本地,利用html5的localStorage可以輕鬆做到
app在請求api介面時,傳入一個access_token,該access_token由token和時間戳記運算後獲得,從而保證了每一次發送的access_token是不同的,這個access_token的有效期間為很短的一段時間,只要保證在網速比較渣的情況下有效即可
服務端在接收到這個access_token後,經過解密,從redis中取出對應的token所提供的資料,對時間差進行比較,超出一定時間的,認為無效,並獲得該token對應的user_id或者判斷token是否為約定值。
這個思路可以:
拒絕不攜帶access_token的非法調用
防止無意間抓取到某個access_token,想利用該access_token做大規模攻擊
當然,這裡加密解密會犧牲掉一些效能,這也只是我的一種思路。
csrf token
可以使用令牌技術來避免被第三方程式調用
畫蛇添足一下
加一個token 和後端配合,純前端方案我也想知道有沒有
謝邀,和我回答過的這個問題有點類似,就直接上串連了
https://segmentfault.com/q/1010000005057679?_ea=768330
JWT Token + HTTPS
加簽名還有其他手段基本上就是提高非法調用難度而已,真要玩你沒什麼卵用。
上面說https的,也就只能防止其他使用者的授權資訊泄露而已,有點用處吧
一般是上面說的token 我沒用 我用的是防盜鏈。。
後端判斷cookie。
傳輸的時候加上一個token驗證。