web service之api的token设计

token设计原理

接口特点汇总:

1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;

2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;

3、有点接口需要用户登录才能访问;

4、有点接口不需要用户登录就可访问;

PHP Token(令牌)

针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。

第一个token是针对接口的(api_token);
第二个token是针对用户的(user_token);

先说第一个token(api_token)

它的职责是保持接口访问的隐蔽性和有效性,保证接口只能给自家人用,怎么做到?参考思路如下:
按服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器也按同样算法生成一个串,用来校验客户端的串。

现在的接口基本是mvc模式,URL基本是restful风格,URL大体格式如下:
http://blog.snsgou.com/模块名/控制器名/方法名?参数名1=参数值1&参数名2=参数值2&参数名3=参数值3
接口token生成规则参考如下:
api_token = md5 (‘模块名‘ + ‘控制器名‘ + ‘方法名‘ + ‘2013-12-18‘ + ‘加密密钥‘) = 770fed4ca2aabd20ae9a5dd774711de2
其中的
1、 ‘2013-12-18‘ 为当天时间,
2、‘加密密钥‘ 为私有的加密密钥,手机端需要在服务端注册一个“接口使用者”账号后,系统会分配一个账号及密码,数据表设计参考如下:
字段名 字段类型 注释
client_id varchar(20) 客户端ID
client_secret varchar(20) 客户端(加密)密钥

服务端接口校验,PHP实现流程如下:
<?php
// 1、获取 GET参数 值
$module = $_GET[‘mod‘]; $controller = $_GET[‘ctl‘]
$action = $_GET[‘act‘]; $client_id = $_GET[‘client_id‘];
$api_token = $_GET[‘api_token‘];
// 2、根据客户端传过来的 client_id ,查询数据库,获取对应的 client_secret
$client_secret = getClientSecretById($client_id);
// 3、服务端重新生成一份 api_token
$api_token_server = md5($module . $controller . $action .  date(‘Y-m-d‘, time()) .  $client_secret);
// 4、客户端传过来的 api_token 与服务端生成的 api_token 进行校对,如果不相等,则表示验证失败
if ($api_token != $api_token_server) {
    exit(‘access deny‘);  // 拒绝访问 } // 5、验证通过,返回数据给客户端  
?>

再说第二个token(user_token)

它的职责是保护用户的用户名及密码多次提交,以防密码泄露。

如果接口需要用户登录,其访问流程如下:

1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https);

2、登录成功后,服务端返回一个 user_token,生成规则参考如下:

user_token = md5(‘用户的uid‘ + ‘Unix时间戳‘) = etye0fgkgk4ca2aabd20ae9a5dd77471fgf

服务端用数据表维护user_token的状态,表设计如下:

字段名 字段类型 注释
user_id int 用户ID
user_token varchar(36) 用户token
expire_time int 过期时间(Unix时间戳)

(注:只列出了核心字段,其它的再扩展吧!!!)

服务端生成 user_token 后,返回给客户端(自己存储),客户端每次接口请求时,如果接口需要用户登录才能访问,则需要把 user_id 与 user_token 传回给服务端,服务端接受到这2个参数后,需要做以下几步:

1、检测 api_token的有效性;

2、删除过期的 user_token 表记录;

3、根据 user_id,user_token 获取表记录,如果表记录不存在,直接返回错误,如果记录存在,则进行下一步;

4、更新 user_token 的过期时间(延期,保证其有效期内连续操作不掉线);

5、返回接口数据;

接口用例如下:

1、发布日志

URL:
 http://blog.snsgou.com/blog/Index/addBlog?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12

请求方式:  POST

POST参数:title=我是标题&content=我是内容

返回数据:

{
      ‘code‘ => 1, // 1:成功 0:失败
      ‘msg‘ => ‘操作成功‘ // 登录失败、无权访问
      ‘data‘ => []
}

时间: 2024-08-24 04:14:12

web service之api的token设计的相关文章

opendaylight web service REST api

chaper 1. MD-SAL cannot provide doc. of REST APIs, because the API are generated at runtime based on YANG models. Then how to address this complaint?    Since that REST APIs are designed on RESTCONF protocol, a OSDI bundle named RESTCONF API Explorer

用Jersey为Android客户端开发Restful Web Service

平时在做Android客户端的时候经常要与服务器之间通信,客户端通过服务端提供的接口获取数据,然后再展示在客户端的界面上,作为Android开发者,我们平时更多的是关注客户端的开发,而对服务端开发的关注相对较少,但是如果我们要自己一个人设计并开发一套完整的系统,我们就必须同时具备客户端和服务端的开发知识,而且我认为同时掌握客户端和服务端的开发技术还是很有用处的,不仅有助于提升我们的架构知识和能力,而且还……你懂得!身边一些做WEB开发的朋友很多都说为客户端开发接口和单纯地做WEB项目并没有很大的

[转]Web Service Authentication

本文转自:http://www.codeproject.com/Articles/9348/Web-Service-Authentication Download source files - 45.5 KB Introduction This is a simple mechanism to authenticate users to a Web Service, using a Time Token and MD5 Hashing to encrypt password. Backgroun

Java RESTful Web Service相关概念

原文地址:http://1.liangtao.sinaapp.com/?p=647 接上一篇文章REST|RESTful初步认识:http://1.liangtao.sinaapp.com/?p=639之后,在接下来的了解中也遇到了一些问题,不太懂的Java WebService这一套体系结构,导致对一些技术术语是是而非,对于若干技术,若干规范没有一个整体上的认识.这篇文章即是对Java中RESTful WebService架构相关规范,技术的认识. Web Service 从表明上来看,Web

Web Service那点事

出现 现在基于浏览器的客户端应用程序越来越流行,而从开发角度来看,一方面是客户端浏览器的安装配置不再需要我们再去花费很大的精力:另一方林则是因为客户端和服务器之间通信的问题. 传统的Windows客户应用程序使用DCOM来与服务器进行通信和调用远程对象.而使用DCOM却来完成通信是个特别繁琐和麻烦的工作,特别的不方便,在此情况下,http协议完美的解决了客户端与服务器之间的通信问题,这是因为任务运行的web浏览器都在使用http协议,同时当前许多防火墙也配置为只允许HTTP连接. 应用程序除了通

怎样更好的设计你的REST API之基于REST架构的Web Service设计及REST框架实现

一.REST 含状态传输(英文:Representational State Transfer,简称REST)是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格. 眼下在三种主流的Web服务实现方案中.由于REST模式与复杂的SOAP和XML-RPC相比更加简洁.越来越多的web服务開始採用REST风格设计和实现. 比如:Amazon.com提供接近REST风格的Web服务进行图书查找:雅虎提供的Web服务也是REST风格的. 二.REST的架构设计 REST(Re

如何更好的设计你的REST API之基于REST架构的Web Service设计及REST框架实现

一.REST 含状态传输(英文:Representational State Transfer,简称REST)是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格. 目前在三种主流的Web服务实现方案中,因为REST模式与复杂的SOAP和XML-RPC相比更加简洁,越来越多的web服务开始采用REST风格设计和实现.例如:Amazon.com提供接近REST风格的Web服务进行图书查找:雅虎提供的Web服务也是REST风格的. 二.REST的架构设计 REST(Rep

App开放接口api安全性—Token签名sign的设计与实现

前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些 接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目 中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性.但是在app提供的开放接口中,后端服务器在用户登录后 如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多

基于REST架构的Web Service设计

REST的架构设计 REST(Representational State Transfer)是一种轻量级的Web Service架构风格,其实现和操作明显比SOAP和XML-RPC更为简洁,可以完全通过HTTP协议实现,还可以利用缓存Cache来提高响应速 度,性能.效率和易用性上都优于SOAP协议. REST架构遵循了CRUD原则,CRUD原则对于资源只需要四种行 为:Create(创建).Read(读取).Update(更新)和Delete(删除)就可以完成对其操作和处理.这四个操作是一种