作為一名互聯(lián)網(wǎng)Coder，無論你是前端或者后端你都要對http請求要有一定的了解，知道http特性，要清楚的了解http里面的Request與Response是什么，知道為什么網(wǎng)站會存在cookie，session，驗(yàn)證碼的意義和必要性。因?yàn)樘接慉PP接口的安全性就是在探討HTTP請求的安全性。

一般在PC端，我們是通過加密的cookie來做會員的辨識和維持會話的；但是cookie是屬于瀏覽器的本地存儲功能。APP端不能用，所以我們得通過token參數(shù)來辨識會員；而這個token該如何處理呢？

首先,先說說在做該接口加密前，我一共經(jīng)歷的四個方案：

方案一
與APP端開發(fā)人員約定特定的md5組合算法，然后兩端比對一下，如果相同就allow，不相同就deny；
但是，這也是不安全的，如果APP程序被反編譯，這些約定的算法就會暴露，特別是在安卓APP中，有了算法，完全就可以模擬接口請求通過驗(yàn)證；

方案二
數(shù)據(jù)庫會員表的password是帶上了隨機(jī)密竄并經(jīng)過雙重加密的md5值;在用戶登錄的時候,我返回會員相應(yīng)的uid和password,password雖然是明文的,別人知道也不能登錄,畢竟是經(jīng)過加密的,然后每次請求接口的時候user_id=333 token=aa37e10c7137ac849eab8a2d5020568f,通過主鍵uid可以很快的找到當(dāng)前uid對應(yīng)的token,然后再來比對;
但是這樣想法是too yang too simple的,抓包的人雖然不能通過密文密碼來登錄該會員,然而一旦知道了這個token,除非用戶更改密碼,否則也可以一直通過這個token來操作該會員的相關(guān)接口;

方案三
通過對稱加密算法，該加密算法對uid+網(wǎng)站公鑰進(jìn)行時效加密，在一定時效內(nèi)可用。在會員登錄成功時，服務(wù)器端對該ID加密后返回給客戶端，客戶端每次請求接口的時候帶上該參數(shù)，服務(wù)器端通過解密認(rèn)證；
但是這樣做，也是不安全的。因?yàn)椋劳獠环纼?nèi)，聽說這次的攜程宕機(jī)就是因?yàn)閮?nèi)部離職人員的惡意操作。內(nèi)部不懷好意的人員如果知道相應(yīng)的算法規(guī)則后，就算沒有數(shù)據(jù)庫權(quán)限，也可以通過接口來操作相關(guān)會員；

方案四
會員登錄的時候請求登錄接口，然后服務(wù)器端返回給客戶端一個token，該token生成的規(guī)則是 網(wǎng)站公鑰 + 當(dāng)前uid + 當(dāng)前時間戳 + 一段隨機(jī)數(shù)雙重加密，根據(jù)需求決定是把該token放進(jìn)cache等一段時間自動失效，還是放進(jìn)數(shù)據(jù)庫（如果要放進(jìn)數(shù)據(jù)庫的話，單獨(dú)拎出一張表來，順便記錄用戶的登錄，登出時間），在用戶登出登錄的時候改變一下，確保該token只能在用戶人為登出登錄之間有用。
為保安全，應(yīng)保證讓用戶在一段時間內(nèi)自動退出；此方案配合Linux和數(shù)據(jù)庫的權(quán)限管理可以防外又防內(nèi)；

數(shù)據(jù)格式最好使用JSON格式數(shù)據(jù)，因?yàn)镴SON有較好的跨平臺性。在生成JSON的時候，要注意json的兩種格式：對象（字典） 與 數(shù)組；mobile端開發(fā)語言中沒有類似PHP中的foreach不能遍歷對象，只能遍歷數(shù)組，他們對對象的操作一般都是通過鍵名去取鍵值。

不管是成功，還是失敗。接口必須提供明確的數(shù)據(jù)狀態(tài)信息，并且不能返回NULL，如果返回NULL的話，在IOS端會崩掉。

相關(guān)推薦：

PHP如何實(shí)現(xiàn)二維碼的生成以及識別（代碼）

php導(dǎo)出csv格式的Excel文件的實(shí)現(xiàn)代碼

php和ajax怎么實(shí)現(xiàn)表格的實(shí)時編輯（附代碼）

以上就是php接口安全:php接口加密的四個方案的詳細(xì)內(nèi)容，PHP教程

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。