A-A+
关于php接口中要验证的app_key
相信不少的用户都接触过php接口中的app_key,这只是一个验证的token,这个小程序到底是干什么用的呢,是要验证php接口权限的,在我们开发项目越来越庞大的时候,php接口就会越来越多,之前只要post数据就可以直接使用接口,导致一个项目被人改了商品的补贴金额,我们知道,如果一个php的接口不去做权限验证的话,任何人如果能猜测到接口的位置,都会加以利用,从而达到自己的目的。
所以像一些大型互联网开放第三方接口,基本上都会有app_key,也就是自己的密钥权限了,有了这个权限,即使别人猜测到了接口的位置,也没有权限去提交任何数据,在每次提交的时候都需要先验证一下app_key权限文件,做得更复杂一些的例如支付宝的验证文件,还有更多的 _key.pem 文件等等。
好了,其实原理很简单,就是在post到接口的时候提交一串我们自定义的字符串而已,验证一下这串字符串是否跟我们定义的一样,如果不一样,则提示暂无接口权限,好了,下面是夏日博客写的一个最为简单的验证api接口token是否正确的权限小程序,如下:
- /**
- * 验证API接口token是否正确
- * @return bollean
- */
- static public function is_token(){
- $app_key = $_POST['app_key'];
- $is_open = true;
- $access_token = 'D9532F8A-0D72-4F99-868C-B78465ECD934';
- if(false === $is_open) return true;
- if($app_key != $access_token) return false;
- //www.xiariboke.net
- return true;
- }
我们只要在接口处include进去这个文件,另外加上验证片段就ok了,验证php代码如下:
- $is_token = \Helper_Tool::is_token();
- if(false === $is_token) \Helper_Tool::stop(-99, '暂无该接口权限');
就是一个很简单的is_token接口验证权限的功能,这个只是一个简单的功能,我们可以在这个基础上做得更复杂一些,比如做成.pem类的文件等等。
很有用的技术,学习了
夏日博客终于可以访问了!
嗯,已经备案成功了。