php token的生成

轉載自：http://blog.snsgou.com/post-766.html

--->非開放性平臺php

--->公司內部產品html

接口特色彙總：數據庫

一、由於是非開放性的，因此全部的接口都是封閉的，只對公司內部的產品有效；api

二、由於是非開放性的，因此OAuth那套協議是行不通的，由於沒有中間用戶的受權過程；restful

三、有點接口須要用戶登陸才能訪問；mvc

四、有點接口不須要用戶登陸就可訪問；post

針對以上特色，移動端與服務端的通訊就須要2把鑰匙，即2個token。加密

第一個token是針對接口的（api_token）；spa

第二個token是針對用戶的（user_token）；設計

先說第一個token（api_token）

它的職責是保持接口訪問的隱蔽性和有效性，保證接口只能給自家人用，怎麼作到？參考思路以下：

如今的接口基本是mvc模式，URL基本是restful風格，URL大致格式以下：

http://blog.snsgou.com/模塊名/控制器名/方法名?參數名1=參數值1&參數名2=參數值2&參數名3=參數值3

接口token生成規則參考以下：

api_token = md5 ('模塊名' + '控制器名' + '方法名' + '2013-12-18' + '加密密鑰') = 770fed4ca2aabd20ae9a5dd774711de2

其中的

一、 '2013-12-18' 爲當天時間，

二、'加密密鑰' 爲私有的加密密鑰，手機端須要在服務端註冊一個「接口使用者」帳號後，系統會分配一個帳號及密碼，數據表設計參考以下：

字段名	字段類型	註釋
client_id	varchar(20)	客戶端ID
client_secret	varchar(20)	客戶端(加密)密鑰

（注：只列出了核心字段，其它的再擴展吧！！！）

服務端接口校驗，PHP實現流程以下：

 
        01 
        <?php 
       
        02 
        // 一、獲取 GET參數 值 
       
        03 
        $module = $_GET['mod']; 
       
        04 
        $controller = $_GET['ctl'] 
       
        05 
        $action = $_GET['act']; 
       
        06 
        $client_id = $_GET['client_id']; 
       
        07 
        $api_token = $_GET[''api_token]; 
       
        08 
          
        09 
        // 二、根據客戶端傳過來的 client_id ，查詢數據庫，獲取對應的 client_secret 
       
        10 
        $client_secret = getClientSecretById($client_id); 
       
        11 
          
        12 
        // 三、服務端從新生成一份 api_token 
       
        13 
        $api_token_server = md5($module . $controller . $action .  date('Y-m-d', time()) .  $client_secret); 
       
        14 
          
        15 
        // 四、客戶端傳過來的 api_token 與服務端生成的 api_token 進行校對，若是不相等，則表示驗證失敗 
       
        16 
        if ($api_token != $api_token_server) { 
       
        17 
            exit('access deny');  // 拒絕訪問 
       
        18 
        } 
       
        19 
          
        20 
        // 五、驗證經過，返回數據給客戶端 
       
        21 
        //。。。 
       
        22 
        ?>

再說第二個token（user_token）

它的職責是保護用戶的用戶名及密碼屢次提交，以防密碼泄露。

若是接口須要用戶登陸，其訪問流程以下：

一、用戶提交「用戶名」和「密碼」，實現登陸（條件容許，這一步最好走https）；

二、登陸成功後，服務端返回一個 user_token，生成規則參考以下：

服務端用數據表維護user_token的狀態，表設計以下：

字段名	字段類型	註釋
user_id	int	用戶ID
user_token	varchar(36)	用戶token
expire_time	int	過時時間（Unix時間戳）

（注：只列出了核心字段，其它的再擴展吧！！！）

服務端生成 user_token 後，返回給客戶端（本身存儲），客戶端每次接口請求時，若是接口須要用戶登陸才能訪問，則須要把 user_id 與 user_token 傳回給服務端，服務端接受到這2個參數後，須要作如下幾步：

一、檢測 api_token的有效性；

二、刪除過時的 user_token 表記錄；

三、根據 user_id，user_token 獲取表記錄，若是表記錄不存在，直接返回錯誤，若是記錄存在，則進行下一步；

四、更新 user_token 的過時時間（延期，保證其有效期內連續操做不掉線）；

五、返回接口數據；

接口用例以下：

一、發佈日誌

URL： http://blog.snsgou.com/blog/Index/addBlog?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12

請求方式： POST

POST參數：title=我是標題&content=我是內容

返回數據：

{ 'code' => 1, // 1:成功 0:失敗 'msg' => '操做成功' // 登陸失敗、無權訪問 'data' => [] }