首頁(yè) 猿問 php寫接口安全驗(yàn)證的不解？

php寫接口安全驗(yàn)證的不解？

PHP 安全

慕哥9229398 2018-10-05 00:07:14

在使用php寫接口的時(shí)候，要使用安全驗(yàn)證，也不知道為什么最近想著想著就有點(diǎn)不解了比如有個(gè)接口地址http://test.com/user/list?uid...上面的3個(gè)參數(shù)分別是：uid（用戶id），token值，sign（這個(gè)值是根據(jù)前面2個(gè)參數(shù)在規(guī)定的算法下計(jì)算出來(lái)的）給了服務(wù)器之后，服務(wù)器再根據(jù)同一個(gè)規(guī)則計(jì)算sign，來(lái)驗(yàn)證和傳過(guò)來(lái)的sign是否一致假如上面的url是正常的，可以拿到數(shù)據(jù)，如果這個(gè)時(shí)候這個(gè)url被其他人知道了，只要在瀏覽器運(yùn)行就可以看到數(shù)據(jù)了，那么請(qǐng)問這個(gè)時(shí)候的安全驗(yàn)證有什么作用？？

查看完整描述

3 回答

雷小天博客

TA貢獻(xiàn)5條經(jīng)驗(yàn) 獲得超4個(gè)贊

高效的安全驗(yàn)證應(yīng)該對(duì)每次請(qǐng)求url進(jìn)行驗(yàn)證，通過(guò)加入時(shí)間戳加密字符保證每次合法的url僅請(qǐng)求一次，請(qǐng)求合法保存時(shí)間戳，下次請(qǐng)求驗(yàn)證時(shí)間戳是否存在，存在則非法調(diào)用。還有對(duì)請(qǐng)求者ip地址進(jìn)行頻率計(jì)算，如果同一ip地址請(qǐng)求頻率很高，基本上可以判斷惡意非法調(diào)用。

反對(duì) 回復(fù) 2019-01-17

嚕嚕噠

TA貢獻(xiàn)1784條經(jīng)驗(yàn) 獲得超7個(gè)贊

不論是加密傳輸還是明文傳輸，瀏覽器解析之后都會(huì)變成明文數(shù)據(jù)，這肯定是不可避免的。

要說(shuō)安全驗(yàn)證有什么作用，那就要解釋一下 Token 了，Token 的意思是令牌，通行證，用戶獲取了 token 之后才能進(jìn)行相對(duì)應(yīng)的操作，如果沒有了 token，那豈不是可以偽造用戶請(qǐng)求，肆意操作？

反對(duì) 回復(fù) 2018-10-11

侃侃無(wú)極

TA貢獻(xiàn)2051條經(jīng)驗(yàn) 獲得超10個(gè)贊

一般接口的安全驗(yàn)證是有公鑰和私鑰的，只會(huì)傳送公鑰然后通過(guò)查找到私鑰生成token或者簽名，而不是像現(xiàn)在這樣所有的參數(shù)都是明面?zhèn)鬏?。而且接口?yàn)證的是請(qǐng)求身份的正確與否，而不是一個(gè)正確的身份請(qǐng)求必須在正確的地方才能得到正確的答案

反對(duì) 回復(fù) 2018-10-11