TOKEN設計

TOKEN設計

1. Api_Token

   1. 首先須要知道API是什麼？

      API（Application Programming Interface）即應用程序接口。你能夠認爲 API 是一個軟件組件或是一個 Web 服務與外界進行的交互的接口。而咱們在這裏要談論的，是做爲一家公司如何跟外界進行交互。從另外一個角度來講，API 是一套協議，規定了咱們與外界的溝通方式：如何發送請求和接收響應。

   2. API的特色：

      • 由於是非開放性的，因此全部的接口都是封閉的，只對公司內部的產品有效；
      • 由於是非開放性的，因此OAuth那套協議是行不通的，由於沒有中間用戶的受權過程；
      • 接口分爲須要用戶登陸才能訪問的和不須要用戶登陸就可訪問的；

   3. 職責

      保持接口訪問的隱蔽性和有效性，保證接口只有可信任的來源才能夠訪問。

   4. 模式：

      如今的接口基本是mvc模式，URL基本是restful風格，URL大致格式以下：

      http://www.api.com/模塊名/控制器名/方法名?參數名1=參數值1&參數名2=參數值2

      生成規則參考以下：

      $api_token = md5 ('模塊名' + '控制器名' + '方法名' + '時間' + '加密密鑰');

   5. 例子

      <?php
      //獲取GET參數值
      $module = $_GET['module'];
      $controller = $_GET['controller']
      $action = $_GET['action'];
      $client_id = $_GET['client_id'];
      $api_token = $_GET['api_token'];
      
      //根據客戶端傳過來的client_id，查詢數據庫，獲取對應的client_secret
      $client_secret = getClientSecret($client_id);
      
      //服務端從新生成一個api_token
      $api_token_server = md5($module . $controller . $action . date('Y-m-d', time()) . $client_secret);
      //客戶端傳過來的api_token與服務端生成的api_token進行校對，若是不相等，則表示驗證失敗
      if ($api_token != $api_token_server) {
      exit('access deny'); //拒絕訪問
      }
      //驗證經過，返回數據給客戶端
      ?>

2. User_Token

   1. 職責

      保護用戶的用戶名及密碼屢次提交，以防密碼泄露。

   2. 模式

      登陸成功後，服務端返回一個user_token，生成規則參考以下：

      $user_token = md5('用戶的uid' + 'Unix時間戳' + '證書私鑰')

      服務端生成user_token後，返回給客戶端（本身存儲），客戶端每次接口請求時，若是接口須要用戶登陸才能訪問，則須要把 user_id與user_token傳回給服務端，服務端接受到這2個參數後，須要作如下幾步：

      1. 檢測user_token的有效性；
      2. 刪除過時的user_token表記錄；
      3. 根據user_id，user_token 獲取表記錄，若是表記錄不存在，直接返回錯誤，若是記錄存在，則進行下一步；
      4. 更新user_token 的過時時間（延期，保證其有效期內連續操做不掉線）；
      5. 返回接口數據；