给app做的api接口如何保证用户的合法性?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了给app做的api接口如何保证用户的合法性?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2462字,纯文字阅读大概需要4分钟。
内容图文
![给app做的api接口如何保证用户的合法性?](/upload/InfoBanner/zyjiaocheng/237/4ca683b99f4c4aa4bd77e10dc1451ca0.jpg)
需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。
大概的流程如下:
- 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
{
“user_id”:”123123123” ,
“access_token”:”accesstokenstrng”,
“platform”:”qq”,
“platform_name”:”xxx”,
}
2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。
6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。
这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?
可能重复的问题:用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
回复内容:
我在google上面搜索了一些针对app的用户认证方案,也对比过传统PC时代的cookie认证,觉得都不太合理,我想到一个方案,不知道是否合理?
需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。
大概的流程如下:
- 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
{
“user_id”:”123123123” ,
“access_token”:”accesstokenstrng”,
“platform”:”qq”,
“platform_name”:”xxx”,
}
2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。
6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。
这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?
可能重复的问题:用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
内容总结
以上是互联网集市为您收集整理的给app做的api接口如何保证用户的合法性?全部内容,希望文章能够帮你解决给app做的api接口如何保证用户的合法性?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。