php用来做接口时，如何加密？

jsyzchen

1901812

发布于
2015-04-28

php用来做接口时，如何加密。之前是直接客户端一个ajax过来，Php端直接给数据，但这样总觉得不安全。。

php api 加密

阅读 34.4k

12 个回答

得票最新

xfee

232138

发布于
2015-04-28

✓ 已被采纳

客户端使用加密算法和一个key将接口名,参数等信息加密, 例如将
http://example.com/getUser?id=100
加密为
http://example.com/decode?data=xxxxx

其中, data的值xxxxx为getUser?id=100加密后的值

服务器接收到data后,对data的值使用和客户端相同的算法和key进行解密, 解析接口和参数,并调用

下面是我写的一个解析方法, 供你参考下

    /**
     * 解码
     */
    public function decode()
    {
        $this->load->library('mcrypt');
        $data      = $this->myinput->get('data', false, '');
        $data      = base64_decode($data);
        $data      = $this->mcrypt->decrypt($data);
        $parse_url = parse_url($data);
        $function  = $parse_url['path'];
        if (isset($parse_url['query'])) {
            $arrQuery = explode('&', $parse_url['query']);
            foreach ($arrQuery as $param) {
                $item           = explode('=', $param);
                $_GET[$item[0]] = $item[1];
            }
        }
        return $this->$function();
    }

她说她喜欢浪丶

4.9k65382414

发布于
2015-04-28

每次请求接口的时候验证下access_token，比如这个token是个 MD5值，再在这个值上面加几个随机数，这这值就不是MD5的值了，可破解的难道就大大增加了。

if($_POST['access_token']!=$access_token)
{
    exit('access_token error'); //每次访问接口的时候 必须先调用验证token的判断。

}

风尘叹

29611

发布于
2015-04-29

题主的问题不太明确，大家都是在回答怎么做身份验证

传输过程中的安全问题
为了防止在不安全的网络环境下传输的数据被截获和篡改，api 接口必须使用 https 协议。
客户端的安全问题
在客户端对数据进行对称加密再提交的意义是非常有限的，因为key被暴露在客户端代码中。如果一定要加密，可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中，防止这些数据被用户篡改。
服务端的安全问题
这个问题涉及面太广，关键就是不要信任任何从客户端提交上来的数据（无论你的客户端设计得多么天衣无缝），每一个参数都要做校验。

至于如何进行身份验证，属于自定义 api 协议的范畴。可以参考大家所给出的方案。