前后端分离,如何保障数据传输的安全性,访问api时有什么方案或方法可以保障重放的

问答 754327037@qq.com · 2018年07月12日 · 最后由 siyue1314 回复于 2018年07月23日 · 1211 次阅读


现在线上已经用了ssl,但是防止不了抓包,然后去疯狂请求我的api,现在后台用了一个token,这个是登录的时候产生的,
public static function genToken($userid, $token_senconds)
{
$expire_at = time() + $token_senconds;
$token_data = $userid . '.' . $expire_at;
$token_sign = self::_calcSign($token_data);
$token = $token_data . '.' . $token_sign;

    return $token;
}

这个是产生的方法,token有两个小时的访问时效,token一些人肯定也是可以拿到的

共收到 6 条回复


754327037@qq.com 2018年07月12日

如果用支付宝的那一套如果双方都是后端语言,可以用一个简易版的支付宝加密,验签的,只可以是前后端分离

qloog 2018年07月16日

@754327037@qq.com 一般是在签名里加上时间戳,在服务端除了校验签名,还需要校验时间戳,如果不在规定的时间内,就算不合要求。这样即使拿到签名,也只是短暂的时间内可用,避免重复使用前面重放。

siyue1314 2018年07月20日

@qloog 老师 我想用您的yaf框架 但是按照您GitHub上的操作 不行呀 Class 'PHPCasts\Yaf\ServiceContainer' not found 如何解决

qloog 2018年07月21日

@siyue1314 嗯,这个目前正在整理中。

qloog 2018年07月21日

@siyue1314 稍后会有视频放出,对这个repo进行详细的讲解。

siyue1314 2018年07月23日

@qloog 谢谢 我集成了您的lib库 改了路径也不行。