api接口安全

在网上看了很多关于api 接口安全的例子 还是决定写点东西 方便以后查阅

决定第一套方案 用token去验证接口安全

1. 

服务器端 与客户端约定一个 key 如 wang

2.

客户端登录的时候生成一个 由用户id 和key 组合生成的一个串 md5(id+key)

$token = md5($user_id.'_'.$key);

3.

服务端 接收 并且验证 客服端请求过来的token 通过即让继续请求不通过中断请求

if($token!=md5($_SESSION['user_id'.'_'.$key])){

echo '非法请求 ';exit;

} else{

     echo '合法请求' ;

}

实例代码

public function checktoken(){    $token = $_GET['token'];    //KEY  与客户端约定好的钥匙 常量    if($token!=md5($_SESSION['user_id'].'_'.KEY)){        exit('非法请求');    }else{        echo '合法请求';    }}