如何解决thinkphp在app接口开发过程中的安全验证问题

这篇文章给大家分享的是有关如何解决thinkphp在app接口开发过程中的安全验证问题的内容。小编觉得挺实用的，因此分享给大家做个参考，一起跟随小编过来看看吧。

对于我们写好的接口，如果不经过安全认证就可以直接访问的话，则将对我们网站产生非常大的安全隐患，一些hack可能直接用你的接口去操作数据库，后果无法估量。

那么如何才能进行有效的安全验证呢？

这里采用了微信开发中的access_token机制，让app前端开发工程师通过提交appid和appsecert来获取token,服务器端对token缓存7200秒，客户端如果每次都直接请求token则token每次都会重置；

所以推荐客户端也一样进行缓存，客户端可以通过判断本地token是否存在，如果存在则直接用token做参数去访问我们的api，服务端判断token的有效性并给予相应的返回，客户端缓存的token如果失效了,就直接再请求获取token，思路大概就是这样，下面提供了完整的参考代码，如果有更好的方法，也可留言

<?phpnamespace Home\Controller;use Think\Controller;class IndexController extends Controller {    public $appid = 'dmm888';        public $appsecret = 'http://cnblogs.com/dmm888';        public function index(){        $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h2{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px }</style><div style="padding: 24px 48px;"> <h2>:)</h2><p>欢迎使用 <b>ThinkPHP</b>！</p><br/>[ 您现在访问的是Home模块的Index控制器 ]</div><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');    }    public function  test(){        if(!isset($_GET['token'])){            $this->apiReturn(4001,'invalid token');        }else if(!S($_GET['token'])){                        $this->apiReturn(4001,'invalid token');                    }         $data = array(            'id'=>2,            'username'=>'明之暗夜',            'info'=>array('age'=>24,'address'=>'学府路','url'=>'http://cnblogs.com/dmm888')        );        if($data){            $this->apiReturn(200,'读取用户信息成功',$data,xml);        }    }    public function getToken(){        $ori_str = S($this->appid.'_'.$this->appsecret);   //这里appid和appsecret我写固定了，实际是通过客户端获取  所以这里我们可以做很多 比如判断appid和appsecret有效性等        if($ori_str){       //重新获取就把以前的token删除            S($ori_str,null);        }        //这里是token产生的机制  您也可以自己定义        $nonce = $this->createNoncestr(32);        $tmpArr = array($nonce,$this->appid,$this->appsecret);        sort($tmpArr, SORT_STRING);        $tmpStr = implode( $tmpArr );        $tmpStr = sha1( $tmpStr );        // echo $tmpStr;        //这里做了缓存 'a'=>b 和'b'=>a格式的缓存        S($this->appid.'_'.$this->appsecret,$tmpStr,7200);          S($tmpStr,$this->appid.'_'.$this->appsecret,7200);    }          function createNoncestr( $length = 32 )     {        $chars = "abcdefghijklmnopqrstuvwxyz0123456789";          $str ="";        for ( $i = 0; $i < $length; $i++ )  {              $str.= substr($chars, mt_rand(0, strlen($chars)-1), 1);          }          return $str;    }     }

具体怎么验证我就不用写了吧，这样我们只需把appid和appsecret给app前端开发者 并告诉他怎么用就可以了 token就是唯一令牌 只有token有效才可以向下执行 从而安全性可以得到一定保证 。

感谢各位的阅读！关于“如何解决thinkphp在app接口开发过程中的安全验证问题”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！