api開發php

㈠ php 的API介面

使用PHP寫api介面是經常做的，PHP寫好介面後，前台就可以通過鏈接獲取介面提供的數據，而返回的數據一般分為兩種情況，xml和json,在這個過程中，伺服器並不知道，請求的來源是什麼，有可能是別人非法調用我們的介面，獲取數據，因此就要使用安全驗證

原理

從圖中可以看得很清楚，前台想要調用介面，需要使用幾個參數生成簽名。

時間戳：當前時間

隨機數：隨機生成的隨機數

口令：前後台開發時，一個雙方都知道的標識，相當於暗號

演算法規則：商定好的運算規則，上面三個參數可以利用演算法規則生成一個簽名。前台生成一個簽名，當需要訪問介面的時候，把時間戳，隨機數，簽名通過URL傳遞到後台。後台拿到時間戳，隨機數後，通過一樣的演算法規則計算出簽名，然後和傳遞過來的簽名進行對比，一樣的話，返回數據。

演算法規則

在前後台交互中，演算法規則是非常重要的，前後台都要通過演算法規則計算出簽名，至於規則怎麼制定，看你怎麼高興怎麼來。

我這個演算法規則是

• 時間戳，隨機數，口令按照首字母大小寫順序排序

• 然後拼接成字元串

• 進行sha1加密

• 再進行MD5加密

• 轉換成大寫。

㈡ php開發api介面,如何做才算是安全的

這個問題很深

安全，不敢當，因為web安全問題很多，不僅僅是PHP編碼而已，有很多安全上的問題需要做處理，像伺服器漏洞、埠開放都會導致被黑，這都是很正常的。

只能說 比如在我做PHP開發過程的一些安全保護和在網路安全公司開發時的工作要求：

1、最基礎的，提供的api介面 要配置https。

2、api返回響應的信息，要盡可能使用消息加密返回，如高位數的 rsa加密內容。

3、接收的回調開放介面，盡可能做到使用回調黑、白名單，如加ip白名單放行，或ip黑名單禁止訪問。

4、不要相信用戶輸入、輸入信息要進行編碼轉換、轉義、過濾、使用框架和插件進行處理，如MySQL查詢的要進行參數綁定、如顯示問題要避免xss攻擊會進行過濾。

5、授權操作，錯誤限制設置閥值、超過閥值限制訪問、如最基礎的登錄功能。

6、常見額弱口令問題導致漏銅，應設置高強度口令，避免程序爆破。

7、文件上傳問題、應嚴格校驗文件類型、後綴、格式、及文件目錄許可權設置，從而避免文件上傳漏洞導致惡意代碼或webshell攻擊。

8、開發環境和生產環境隔開，不要再生產上面開debug、及時更新使用框架漏洞補丁如PHP國內常用 tp系列以前偶爾爆出漏洞（我用的較多就是tp5 ....），還有框架不要用最新要選擇最穩定的。

最後注意不管是驗證還是過濾，在客戶端執行過一次也好，在服務端，都要再次執行驗證和校驗。

和盛之文 我的文章保存網站，歡迎訪問學習或參考