# 接口特點匯總 針對以上特點，移動端與服務端 的通信就需要2把鑰匙，即2個`token`。 1、因為是非開放性的，所以所有的接口都是封閉的，只對公司內部的產品有效； 2、因為是非開放性的，所以OAuth那套協議是行不通的，因為沒有中間用戶的授權過程； 3、有點接口需要用戶登錄才能訪問； 4、有點接口不需要用戶登錄就可訪問； ### PHP Token(令牌) 針對以上特點，移動端與服務端的通信就需要2把鑰匙，即2個token。 第一個token是針對接口的（api_token）； 第二個token是針對用戶的（user_token）； 下面我們針對api_token來說明 * * * * * ### api_token 它的職責是保持接口訪問的隱蔽性和有效性，保證接口只能給自家人用，怎么做到？ 參考思路如下： 按服務器端和客戶端都擁有的共同屬性生成一個隨機串，客戶端生成這個串，服務器也按同樣算法生成一個串，用來校驗客戶端的串。 現在的接口基本是mvc模式，URL基本是restful風格，URL大體格式如下： ~~~ http://blog.snsgou.com/模塊名/控制器名/方法名?參數名1=參數值1&參數名2=參數值2&參數名3=參數值3 ~~~ 接口token生成規則參考如下： ~~~ api_token = md5 ('id' + '時間戳' + '加密密鑰') = 770fed4ca2aabd20ae9a5dd774711de2 ~~~ 其中的 1、 '2013-12-18' 為當天時間， 2、'加密密鑰' 為私有的加密密鑰，手機端需要在服務端注冊一個“接口使用者”賬號后，系統會分配一個賬號及密碼 數據表設計參考如下： 字段名 字段類型 注釋 ~~~ client_id varchar(20) 客戶端ID client_secret varchar(20) 客戶端(加密)密鑰 ~~~ <br> 服務端接口校驗，PHP實現流程如下： ~~~ <?php // 1、獲取 GET參數 值 $module = $_GET['mod']; $controller = $_GET['ctl'] $action = $_GET['act']; $client_id = $_GET['client_id']; $api_token = $_GET['api_token‘]; // 2、根據客戶端傳過來的 client_id ，查詢數據庫，獲取對應的 client_secret $client_secret = getClientSecretById($client_id); // 3、服務端重新生成一份 api_token $api_token_server = md5($module . $controller . $action . date('Y-m-d', time()) . $client_secret); // 4、客戶端傳過來的 api_token 與服務端生成的 api_token 進行校對，如果不相等，則表示驗證失敗 if ($api_token != $api_token_server) { exit('access deny'); // 拒絕訪問 } // 5、驗證通過，返回數據給客戶端 ?> ~~~ <br> ### user_token 它的職責是保護用戶的用戶名及密碼多次提交，以防密碼泄露。 如果接口需要用戶登錄，其訪問流程如下： 1、用戶提交“用戶名”和“密碼”，實現登錄（條件允許，這一步最好走https）； 2、登錄成功后，服務端返回一個 user_token 生成規則參考如下： ~~~ user_token = md5('用戶的uid' + 'Unix時間戳') = etye0fgkgk4ca2aabd20ae9a5dd77471fgf ~~~ 服務端用數據表維護user_token的狀態 表設計如下： 字段名 字段類型 注釋 ~~~ user_id int 用戶ID user_token varchar(36) 用戶token expire_time int 過期時間（Unix時間戳） ~~~ >[danger] （注：只列出了核心字段，其它的再擴展吧！！！） 服務端生成 user_token 后，返回給客戶端（自己存儲） 客戶端每次接口請求時，如果接口需要用戶登錄才能訪問，則需要把 `user_id ` 與 `user_token` 傳回給服務端 服務端接受到這2個參數后 需要做以下幾步： 1. 檢測 api_token的有效性； 2. 刪除過期的 user_token 表記錄； 3. 根據 user_id，user_token 獲取表記錄，如果表記錄不存在，直接返回錯誤，如果記錄存在，則進行下一步； 4. 更新 user_token 的過期時間（延期，保證其有效期內連續操作不掉線）； 5. 返回接口數據； <br> #### 接口用例如下： 請求方式： POST POST參數：title=我是標題&content=我是內容 返回數據： ~~~ { 'code' => 1, // 1:成功 0:失敗 'msg' => '操作成功' // 登錄失敗、無權訪問 'data' => [] } ~~~