`
arm10504
  • 浏览: 17862 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

移动端与PHP服务端接口通信流程设计(增强版)

 
阅读更多

前面讲过:移动端与PHP服务端接口通信流程设计(基础版)

对于 api_token 的校验,其安全性还可再增强:



增强地方一:



再增加2张表,一个接口表,一个授权表,设计参考如下:

接口表

字段名           字段类型          注释
api_id         int             接口ID
api_name    varchar(120)    接口名,以"/"作为分割线,如 blog/Index/addBlog

api_domain   varchar(256)   所属领域

is_enabled    tinyint(1)    是否可用  1:可用 0:不可用

add_time      int           添加时间(戳)
(注:只列出了核心字段,其它的再扩展吧!!!)



授权表

字段名          字段类型                注释
client_id     int                客户端ID
api_id        int                 api编号
api_name      varchar(120)  接口名,以"/"作为分割线,如 blog/Index/addBlog
is_enabled     tinyint(1)  是否可用  1:可用 0:不可用
add_time       int     添加时间(戳)
expire_time    int    过期时间(戳)
(注:只列出了核心字段,其它的再扩展吧!!!)



执行过程如下:

1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;

2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;



增强地方二:



对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:

有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,



方案一:走https,这个就不多说,比较公认的安全机制;

方案二:走数字签名,实现原理如下:



一个http请求,假如需要传递如下3个参数



参数名1=参数值1

参数名2=参数值2

参数名3=参数值3



我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。

即:

identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');

于是,最终传递的参数有:



参数名1=参数值1

参数名2=参数值2

参数名3=参数值3

client_id=client_id值

identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')



服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!


分享到:
评论

相关推荐

    懒人外卖源码(移动端+服务端+数据库+部署说明).rar

    这是一个外卖点餐系统,包括了移动端App、服务端(中台)和商家的后台管理,移动端为Android,服务端.net MVC搭建,数据库sqlserver。还原数据库,更改接口地址即可运行,还原数据库记得使用sqlserver 2014及以上。...

    基于大语言模型的视频评论回复系统,包含服务端脚本与移动端工程文件服务端由一个负责生成回复的回复服务脚本与一个负责与移动端及目标网

    其中 client/ 为移动端程序的 DevEco Studio 元服务工程项目,server/ 则包含了负责生成回复的 reply-server.py 与一个负责与移动端及目标网站通信的 data-server.py 组成。 文件夹 utils/ 包括一个工具脚本 ...

    修改好的移动端android和服务端java上传文件程序

    在移动开发领域,Android平台与服务器端的交互是不可或缺的一部分,尤其在文件上传功能上,这对于用户来说是非常常见的操作,例如上传照片、视频或者文档。本项目提供的“修改好的移动端android和服务端java上传文件...

    APP与服务端通信设计

    app如何与服务端进行通信?用什么格式?xml?json?或者其他?在更新的时候又如何更省流量呢?

    基于PHP的华为推送服务端接口封装设计源码

    该源码库为基于PHP的华为推送服务端接口封装设计,包含44个文件,其中35个为PHP代码,并附有5个Git忽略文件、2个Markdown文件、1个LICENSE文件和1个ini文件。它提供了一套服务端PHP示例程序,旨在简化华为推送服务的...

    91移动开发平台服务端与应用服务端接口规范 1.00

    根据给定的文件信息,以下是91移动开发平台服务端与应用服务端接口规范的知识点总结: 1. 服务端接口规范概要: 文档介绍了91移动开发平台的服务器接口规范,包括服务器之间的交互流程和接口定义。开发者可以利用...

    AIDl跨进程客户端与服务端互相通信

    本教程将详细讲解如何利用AIDL实现客户端与服务端之间的跨进程通信,并通过"AIDLClient"和"AIDL"这两个文件名,我们可以推测这是两个关键的组件,一个作为客户端,另一个作为服务端。 首先,我们需要理解AIDL的基本...

    c语言实现客户端与服务端的通信

    "C语言实现客户端与服务端的通信" 在计算机网络中,客户端与服务端的通信是最基本也是最重要的一种通信方式。通过使用 socket 编程,我们可以实现客户端与服务端之间的数据交换。下面,我们将详细介绍如何使用 C ...

    客户端与服务端通信

    在IT行业中,客户端与服务端通信是网络应用的基础,它涉及到如何通过网络连接将数据从一个应用程序(客户端)传输到另一个应用程序(服务端),再返回响应。在这个过程中,安全性是至关重要的,特别是在处理用户敏感...

    WCF客户与服务端通信Domo(winform)

    总结来说,"WCF客户与服务端通信Domo(winform)"是一个基础教程,展示了如何使用WCF在WinForm应用中创建服务和客户端,使得它们能相互通信。通过这个Demo,初学者可以学习到WCF的基本概念、服务的创建与配置、...

    流式套接字实现简单的客户端服务端通信过程

    2. **客户端和服务端的通信流程** - 客户端首先发起连接请求,通过`socket()`函数创建套接字,然后调用`connect()`函数尝试连接到服务端。 - 服务端通过`socket()`创建套接字,使用`bind()`函数绑定IP和端口号,...

    e4a与电脑易语言服务端通信

    本文将深入探讨e4a与电脑易语言服务端之间的通信机制,帮助开发者理解如何实现两者之间的数据交互。 首先,让我们了解e4a的基本概念。e4a,全称是Easy for Android,它提供了一种类似Basic的编程语法,让开发者能够...

    Android商城平台,移动端+服务端 源码.rar

    《Android商城平台:移动端与服务端源码解析》 在当今移动互联网时代,商城平台已经成为商业活动的重要载体。本文将详细解析一款名为“Android商城平台”的项目,它提供了移动端和服务端的完整源码,适用于Android...

    C++ 客户端与服务端通信

    在IT领域,特别是网络编程中,C++客户端与服务端之间的通信是构建分布式系统的关键技术之一。本篇文章将深入解析C++环境下实现客户端与服务端点对点通信的核心概念、设计模式以及具体实现细节。 ### 核心概念 在...

    C# Socket通信(winform) 异步发送消息,服务端客户端通信,可以发送消息和文件并进行接收

    C# Socket通信(winform) 异步发送消息,服务端客户端通信,可以发送消息和文件并进行接收,代码注释详细 C# Socket通信(winform) 异步发送消息,服务端客户端通信,可以发送消息和文件并进行接收,代码注释详细 ...

    采用消息队列实现客户端与服务端的通信

    消息队列在IT行业中是一种非常重要的中间件技术,主要用于实现客户端与服务端之间的异步通信。它通过在发送方和接收方之间建立一个缓冲区,将数据以消息的形式存储并转发,有效地解耦了系统组件,提高了系统的可扩展...

    毕设&课设&项目&实训-从0到1实现全栈开发的步骤,包括数据的爬取,服务端接口的开发,UI设计,以及移动端的开发.zip

    毕设&课设&项目&实训-从0到1实现全栈开发的步骤,包括数据的爬取,服务端接口的开发,UI设计,以及移动端的开发,从0到1实现一整套的流程 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、...

    Socket实现客户端与服务端通信源码

    Socket实现客户端与服务端通信源码 程序说明: 开发工具:Visual Studio 2005 本程序演示了Socket通信的基本原理,非常适合初学者。程序分为两部分:服务器端与客户端,实际上客户端也可以充当服务器端,本程序两端...

    Net Remoting实现简单的服务端客户端双向通信

    这种技术在分布式系统中尤其有用,可以实现服务端与客户端的双向通信。在本文中,我们将深入探讨如何使用Net Remoting来构建一个简单但功能齐全的服务端-客户端通信模型。 首先,了解基础概念: 1. **对象激活**:...

Global site tag (gtag.js) - Google Analytics