我在一個WebAPP項目中遇到了題主的這個問題。由于API是為APP準備的，因此在WebAPP中使用ajax和api進行交互也不得不按照app與api交互時的使用習慣。

在向api發(fā)出請求的時候，可能有兩種情況，一種是用戶登錄，一種是未登錄。無論哪一種情況，都可以采用下面的這種思路，但在使用token時使用不同的token即可。登錄用戶使用登錄時服務(wù)端生成的帶nonce的token，是唯一的，而未登錄用戶app在請求時，攜帶的是一個服務(wù)端和客戶端約定好的token(盡可能保密)。

在api設(shè)計時，盡可能的遵循restful風格，因此，在提交的信息中，用于鑒權(quán)的token被放在header中，token鑒權(quán)是設(shè)計我是這樣的思路：

app登錄，服務(wù)端創(chuàng)建token(token為經(jīng)過加密后的字符串，可被解密，解密后的數(shù)據(jù)中包含登錄的用戶信息或非用戶登錄狀態(tài)下的約定好的token)，并且將app與server端的時間差一并保存在redis中，并將token返回給app，app將其保存在本地，利用html5的localStorage可以輕松做到

app在請求api接口時，傳入一個access_token，該access_token由token和時間戳運算后獲得，從而保證了每一次發(fā)送的access_token是不同的，這個access_token的有效期為很短的一段時間，只要保證在網(wǎng)速比較渣的情況下有效即可

服務(wù)端在接收到這個access_token后，經(jīng)過解密，從redis中取出對應(yīng)的token所提供的數(shù)據(jù)，對時間差進行比較，超出一定時間的，認為無效，并獲得該token對應(yīng)的user_id或者判斷token是否為約定值。

這個思路可以：

拒絕不攜帶access_token的非法調(diào)用

防止無意間抓取到某個access_token，想利用該access_token做大規(guī)模攻擊

當然，這里加密解密會犧牲掉一些性能，這也只是我的一種思路。

總結(jié)

以上是生活随笔為你收集整理的php接口前端安全,前端js的ajax 调用PHP写的API接口，如何卡主安全性，防止非法调用呢？...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。