RESTFul架構權限設計

1 用戶權限認證後獲取服務端的token，將token存入客戶端cookie中。

2 將cookie放入客戶端請求頁面的頭部信息 X-CSRF-TOKEN中 

示例代碼

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="csrf-token" content="abcd">
    <title>Document</title>
</head>
<body>


<script src="//cdn.bootcss.com/jquery/2.2.1/jquery.js">
</script>
<script>
    $(function(){
        alert('ready');

        $.ajaxSetup({
            headers: {
                'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
            }
        });


        $.post('test_token.php',{username:"lilu"},function(){
            alert('back');
        });



    });


</script>
</body>
</html>

3 服務端驗證token

function get_all_headers() {
    $headers = array();

    foreach($_SERVER as $key => $value) {
        if(substr($key, 0, 5) === 'HTTP_') {
            $key = substr($key, 5);
            $key = strtolower($key);
            $key = str_replace('_', ' ', $key);
            $key = ucwords($key);
            $key = str_replace(' ', '-', $key);

            $headers[$key] = $value;
        }
    }

    return $headers;
}

$a=get_all_headers();
if($a['X-Csrf-Token']=="abcd"){
    echo json_encode(['message'=>'ok']);
}else{
    echo json_encode(['message'=>'failed']);
}

若是怕token不安全，好比cookie的存儲時間過長，被搜索引擎或者黑客截獲。 那麼能夠在服務端增長對客戶端請求地址來源（HTTP_ORIGIN）的判斷，給反饋結果加上Access-Control-Allow-Origin的頭部信息，從而阻止客戶端對結果的讀取。 

其實怕token直接顯示在url上被搜索引擎收錄這個問題，只要咱們不要把token寫在url上，而是像上面的例子寫在頭部信息 X-CSRF-TOKEN

中就能破。

針對cookie可能被黑客截獲的狀況 代碼大概以下 

$http_origin_allow=['http://www.xxx.com','http://www.xxx.net'];

$http_origin = $_SERVER['HTTP_ORIGIN'];


        $j=count($http_origin_allow);
        for($i=0;$i<$j;$i++){

            if($http_origin==$http_origin_allow[$i]){
                 header("Access-Control-Allow-Origin: $http_origin");


            }
        }

那若是客戶端對HTTP_ORIGIN 的值作了僞造怎麼辦？ 這個嘛 我本身嘗試去僞造 發現好像不能僞造，實在要是有高手能僞形成功，那麼就使出終極大招封IP唄，寧肯錯殺一萬，不可放過一個。 

另外一問題是 若是我但願個人API是公開被調用的，可是對每一個IP的調用次數有個限制，那麼就根據客戶端的IP來控制調用次數便可 ，那麼若是客戶端的IP也是僞造的而且不斷變化呢 ？ 這個嘛 尚未想到怎麼破 ，比較強硬的手段就是封鎖ip。