浅谈App开放接口api安全性设计—Token授权

在聊这个之前 我想从微信开发的最初谈起，此篇章理论知识过多๑乛◡乛๑请慎重阅读。

---

为什么要从微信开发说起呢，可能做过微信开发的小伙伴就知道，微信开发者文档中有一篇文章叫做

获取凭据篇 ，没做过的也没事，你就可以把这个东西当成是去动物园看动物的一张门票，有了这张门票

我们就可以使用他的接口，而我们今天要聊的就是如何去设计这张门票，也就是所谓的Token。

获取Token之前所需要的条件:

这里我们还是借用一下微信开发手册的图片一用，首先看图一的两个参数，一个是appid，secret，通俗来讲 你也把它当成是一个账号 密码，通过这个账号密码 我们去生成一个带有时间戳的token，appid，secret，存储位置可以放入项目配置文件也可以放入数据库，具体看需求，

之前我有个游戏支付sdk项目就是需要给每个游戏分配不同的appid 跟  secret ，有点类似微信的每个公众号都会有不同的appid，secret同理。

生成token的方式：

接口token生成规则参考如下：

api_token = md5 ('模块名' + '控制器名' + '方法名' + '时间戳' + 'appid'+'加密密钥') = 770fed4ca2aabd20ae9a5dd774711de2

也可以采用下图方式（拼装请求参数）做成一条签名，类似支付宝的接口使用):

(图：为N久前写的验签方法，别太在意代码，探讨的只是一种思路)

当然这点上并没有任何要求 你必须采用什么方式，重要的是时间戳一定需要，好比你说人家拿到了一张动物园的门票，如果没有时间限制，也就是到期时间，那么人家抓取到了你接口中的token 将可以一直使用你的接口，而如果有过期时间的话，只需要做个时间对比，比如过期时间为2个小时，那2个小时后将不在可以使用该接口。

验证token (也就是所谓的验签) ：

验签其实并不麻烦，这并不是什么代码层次的高深技术，仅仅只是一种思路。每个人可以具备不同的思路，简单来说就是带上你的token(或者签名) 来请求我的验签方法(验证token) 的方法，

同样的用我们自己定义好的生成token(sign)的方式 和 现在传过来的token (sign) 参数 做一个比较(IF 判断)。 两者是否相同，相同即为通过。如果appid 跟 secret 不对 是不可能通过的，也就是说拥有 你分配 appid 跟secret的 授权客户端才有权限用你的接口。 

注：

记得一定要验证token失效时间。（PHP+JS+UI--交流/招聘 499125737）