<li id='366ns67'><legend dir='6fu4dfy'></legend></li>
          1. 文章熱詞:API

            日期:2019-11-14 08:56 by Mr. Yang 2163 0 收藏
            我要分享

            摘要:相信大家都做過PHP請求API接口獲取數據,比如淘寶API,微信公衆平台,天氣查詢,快遞查詢等,有的需要參照接口文檔根據簽名算法構造sign(簽名),或者設置token,然後通過curl發送POST請求帶上參數,獲得返回數據,一般是json或者xml格式。

            相信大家都做過PHP請求API接口獲取數據,比如淘寶API,微信公衆平台,天氣查詢,快遞查詢等,有的需要參照接口文檔根據簽名算法構造sign(簽名),或者設置token,然後通過curl發送POST請求帶上參數,獲得返回數據,一般是json或者xml格式。

            但是現在的情況反過來了,我們要開發PHP服務器端的API接口,也就是别人請求我們,我們驗證請求合法性,并查詢數據返回。

            這種情況其實在手機app開發中用到,手機APP應用往往需要請求PHP接口獲取數據,不過這個請求一般是不用經過驗證的,根據不同的功能請求不同的url,通常也是get方式傳參數直接獲取數據。


            本文簡單講講服務器端驗證請求合法性的方法,和接收參數的方式。

            簡單的get請求如:http://www.demo.com/api/get_cat?id=2,請求這個網址會返回一些數據,無論是誰用什麽編程語言請求都能得到數據。

            那麽在需要驗證合法性的情況下這樣顯然是不行的。所以需要一個秘鑰,這個時候往往用POST方式請求url。

            比如傳遞的參數中有個簽名sign,值是98888,當然生成sign的方式很多而且不可能這麽簡單,這裏隻是随便寫,那麽服務器端接收到sign是98888,假如我們約定98888就是合法的,這個時候判斷sign是否爲98888就可以驗證這是合法請求了。

            但是這樣也太簡單了,一下子就被破解了,設置這個sign就毫無意義了。所以要有一個生成sign的規則,請求的時候根據這個規則生成sign傳參,服務器端接收的時候也根據這個規則生成sign,如果生成的sign一緻,表明這是合法請求。每次請求都會帶上sign進行驗證。

            還有一種驗證叫token,第一次請求的時候驗證token,在一定時間内不用再次驗證。這要分兩步,第一步先請求獲取token的接口得到token,第二步才是請求具體接口的功能,需要帶上token傳參。由于第一次請求token的時候,服務器端先把token存儲起來了再返回的,所以後面的請求判斷傳過來的token是否存在就可以驗證了。

            許多接口開發都同時使用兩者方式保證私密和安全。

            還有一點,發送POST請求往往使用PHP的CURL模塊,比如對方通過curl發送POST請求,curl_setopt($ch, CURLOPT_POSTFIELDS, $post_string),這裏$post_string是傳PHP數組的形式好,還是json格式呢?

            如果是傳PHP數組,我這邊直接$_POST[‘xx']獲取參數,如果是傳的json格式,我這邊好像要用file_get_contents(‘php://input', ‘r')獲取傳過來的json數據,然後解析json得到參數。

            什麽情況下用第二種?

            這個曾經在網上提問過,看看大家怎麽回答:

            對PHP來說 JSON和數組有時候真的隻是一行代碼的區别,如果我寫可能直接會用第一種。

            我覺得你想你的代碼簡潔一點可以用第二種,我記得weixin的php sdk好像類似就是第二種(當然那是xml格式)

            還有如果對方使用面向對象直接序列化出來的json的話,用json會讓他的代碼更簡潔一點。

            第一種做法,是傳輸的是form表單POST協議,PHP會把PHP數組變成HTTP表單的格式,跨語言通用,但是這種并不是主流的API協議,而更像是模拟提交表單。

            絕大多數API協議會用JSON POST,

            第二種做法,即在HTTP Body裏放JSON數據。也是跨語言的,但作爲API更友好。

            第一種方法,直接PHP curl,如果數據内容沒處理好,數組value裏傳了 @/xxx/xxx 這樣的内容,curl會把服務器上的本地文件傳出去,注意防範。

            x-www-form-urlencoded是RFC标準,沒什麽不兼容的,豈止跨語言,還跨越時空。JSON這種是近幾年想出來的,不是标準,用着方便而已。

            上一篇:PHP實現用戶異地登錄提醒功能的方法

            下一篇:年少不知文中意,再讀已是文中人!


            評論