介面特點彙總： 1、因為是非開放性的，所以所有的介面都是封閉的，只對公司內部的產品有效； 2、因為是非開放性的，所以OAuth那套協議是行不通的，因為沒有中間使用者的授權過程； 3、有點介面需要使用者登入才能訪問； 4、有點介面不需要使用者登入就可訪問； 針對以上特點，移動端與服務端的通訊就需要2把鑰匙，即2個token。 第一個token是針對介面的（api_token）； 第二個token是針對使用者的（user_token）； 先說第一個token（api_token） 它的職責是保持介面訪問的隱蔽性和有效性，保證介面只能給自家人用，怎麼做到？參考思路如下： 現在的介面基本是mvc模式，URL基本是restful風格，URL大體格式如下： http://blog.snsgou.com/模組名/控制器名/方法名?引數名1=引數值1&引數名2=引數值2&引數名3=引數值3 介面token生成規則參考如下： api_token = md5 ('模組名' + '控制器名' + '方法名' + '2017-07-18' + '加密金鑰') = 770fed4ca2aabd20ae9a5dd774711de2 其中的  1、 '2013-12-18' 為當天時間， 2、'加密金鑰' 為私有的加密金鑰，手機端需要在服務端註冊一個“介面使用者”賬號後，系統會分配一個賬號及密碼，資料表設計參考如下：

欄位名	欄位型別	註釋
client_id	varchar(20)	客戶端ID
client_secret	varchar(20)	客戶端(加密)金鑰

（注：只列出了核心欄位，其它的再擴充套件吧！！！） 服務端介面校驗，PHP實現流程如下： <?php // 1. 獲取GET引數值 $module = $_GET['mod']; $controller = $_GET['ctl']; $action = $_GET['act']; $client_id = $_GET['client_id']; $api_token = $_GET['api_token']; // 2. 根據客戶端傳過來的client_id，查詢資料庫，獲取對應的client_secret。 $client_secret = getclientSecretById($client_id); // 3. 伺服器重新生成一份api_token $api_token_server = md5($module.$controller.$action.date('Y-m-d', time()).$client_secret); // 4. 客戶端傳過來的api_token與伺服器生成的api_token進行校對，如果不相等，則表示驗證失敗。 if($api_token != $api_token_server){ exit('access deny'); } // 5. 驗證通過，返回資料到客戶端。 再說第二個token（user_token） 它的職責是保護使用者的使用者名稱及密碼多次提交，以防密碼洩露。 如果介面需要使用者登入，其訪問流程如下： 1、使用者提交“使用者名稱”和“密碼”，實現登入（條件允許，這一步最好走https）； 2、登入成功後，服務端返回一個 user_token，生成規則參考如下： 服務端用資料表維護user_token的狀態，表設計如下：

欄位名	欄位型別	註釋
user_id	int	使用者ID
user_token	varchar(36)	使用者token
expire_time	int	過期時間（Unix時間戳）

（注：只列出了核心欄位，其它的再擴充套件吧！！！） 服務端生成 user_token 後，返回給客戶端（自己儲存），客戶端每次介面請求時，如果介面需要使用者登入才能訪問，則需要把 user_id 與 user_token 傳回給服務端，服務端接受到這2個引數後，需要做以下幾步： 1、檢測 api_token的有效性； 2、刪除過期的 user_token 表記錄； 3、根據 user_id，user_token 獲取表記錄，如果表記錄不存在，直接返回錯誤，如果記錄存在，則進行下一步； 4、更新 user_token 的過期時間（延期，保證其有效期內連續操作不掉線）； 5、返回介面資料； 介面用例如下： 1、釋出日誌 URL：  http://blog.snsgou.com/blog/Index/addBlog?client_id=wt3734wy636dhd3636sr5858t6&api_token=880fed4ca2aabd20ae9a5dd774711de2&user_token=etye0fgkgk4ca2aabd20ae9a5dd77471fgf&user_id=12 請求方式：  POST POST引數：title=我是標題&content=我是內容 返回資料： {       'code' => 1, // 1:成功 0:失敗       'msg' => '操作成功' // 登入失敗、無權訪問       'data' => [] } 使用token防止表單重複提交 如何防止表單重複提交？ 在前臺頁面中放置一個隱藏域用於存放session中的token，當第一次提交時驗證token相同後，會將session中的token資訊更新，頁面重複提交時，因為表單中的token值沒有更新，所以提交失敗。 此外，要避免“加token但不進行校驗”的情況，在session中增加了token，但服務端沒有對token進行驗證，根本起不到防範的作用。 如何防止token劫持？ token肯定會存在洩露的問題。比如我拿到你的手機，把你的token拷出來，在過期之前就都可以以你的身份在別的地方登入。 解決這個問題的一個簡單辦法 1、在儲存的時候把token進行對稱加密儲存，用時解開。 2、將請求URL、時間戳、token三者進行合併加鹽簽名，服務端校驗有效性。 這兩種辦法的出發點都是：竊取你儲存的資料較為容易，而反彙編你的程式hack你的加密解密和簽名演算法是比較難的。然而其實說難也不難，所以終究是防君子不防小人的做法。