PHP

如何实现RESTful Web API的身份验证

最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用请求应该是完全无关的,也就是说,正宗的RESTful Web API应该是每次调用都应该包含了完整的信息,没错,包括身份信息!

那如何确保安全?传输时给密码做MD5加密?得了吧!这样做只能让你自己感觉“安全”点,其实没什么任何用处,利用现在的技术(有种叫什么Rainbow Table啥的来着?本人外行,不是很懂)很快就能算出明文密码了,而且如何防止挟持和重发攻击?

也许你想到了,SSL,如果你打算采用SSL,请忘记一切自行设计的加密方案,因为SSL已经帮你做好了一切,包括防止监听,防止挟持,防止重发……一切都帮你考虑好了,你大胆地把明文密码写在你的包中就OK了,我向你保证没问题。

但SSL的缺点是服务器端配置相对有点复杂,更关键的就是客户端对此支持可能不好,那你考虑一种自己的加密方法,有木有?我这里提供一种方法,思路来自于:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/,我只是把上面的内容中整理了一下变成了我的方法。(传说中的剽窃?呵呵)方法描述如下:…

        

使用THINKPHP的AUTH类进行权限认证_PHP权限验证例子

Auth 类已经在ThinkPHP代码仓库中存在很久了、但是因为一直没有出过它的教程、 很少人知道它、 它其实比RBAC更方便

RBAC是按节点进行认证的、如果要控制比节点更细的权限就有点困难了、比如页面上面的操作按钮、 我想判断用户权限来显示这个按钮

如果没有权限就不会显示这个按钮; 再比如我想按积分进行权限认证、 积分在0-100时能干什么、 在101-200时能干什么、 这些权限认证用RABC都很困难

下面介绍 Auth权限认证、 它几乎是全能的、 除了能进行节点认证、 上面说的RABC很难认证的两种情况、它都能实现

Auth权限认证是按规则进行认证、我先说说它的原理、 在数据库中我们有 规则表(think_auth_rule)…

基于linux和php的稳定的分布式数据采集架构

数据采集对于一些网站至关重要,在开发这种采集程序时会遇到如下一些问题:
一、单进程采集慢,采集任务的间隔时间无法控制。
二、数据下载部分和分析部分不分离导致可移植性不强,调试困难。
三、采集程序受机器性能瓶颈和网速瓶颈限制。
四、遭受数据源的封锁。
等等。。。。…

        

php 框架应有的功能

php 框架应有的功能

高性能,MVC,缓存  数据缓存 与 页面缓存,生成静态html,调试模式,编译机制,类库导入,URL和路由,数据库,模块分组,自动验证和完成,扩展机制,日志,错误,惰性加载,模板引擎,行为,ORM,DAO/ActiveRecord,主题,安全性与XSS过滤,Layout,widget,依赖注入,控制反转,面向方面(AOP),事件,服务定位,命令行,rest,片段缓存,权限管理,认证,控制器,模型,驱动,类库,扩展,函数库,钩子,配置文件,消息队列,任务调度,服务提供者,服务容器,…

            
第 30 页,共 49 页« 最新...1020...2829303132...40...最旧 »