php后台对接ios,安卓,API接口设计和实践完全攻略,涨薪必备技能
原则条件
REST 指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful。
Web 应用程序最重要的 REST 原则是,客户端和服务器之间的交互在请求之间是无状态的。从客户端到服务器的每个请求都必须包含理解请求所必需的信息。如果服务器在请求之间的任何时间点重启,客户端不会得到通知。此外,无状态请求可以由任何可用服务器回答,这十分适合云计算之类的环境。客户端可以缓存数据以改进性能。
在服务器端,应用程序状态和功能可以分为各种资源。资源是一个有趣的概念实体,它向客户端公开。资源的例子有:应用程序对象、数据库记录、算法等等。每个资源都使用 URI (Universal Resource Identifier) 得到一个唯一的地址。所有资源都共享统一的接口,以便在客户端和服务器之间传输状态。使用的是标准的 HTTP 方法,比如 GET、PUT、POST 和 DELETE。Hypermedia 是应用程序状态的引擎,资源表示通过超链接互联。
REST这个词,是Roy Thomas Fielding在他2000年的博士论文中提出的
但是规则是很早之前的人设计的,但是it这个行业日新月异,业务结构复杂,变化性大,所有,你可以选择遵守,也是适当改变,方便开发,比如现在移动化发展快速,app接口,微信网页接口等
第一点要做的就是HTTPS 自2017年1月1号,开始新的ios都需要是https才能访问,版本好像是10.0系列开始,并且满足 苹果ATS安全
如果您的APP如果仍采用HTTP传输,那么,在Apple Store中您的APP将不再能被用户下载使用 ,所以,呵呵
场景分析和理论
首先说下几种运用场景:
1,后台服务端->app客户端 ios 安卓
一般来说单向信任加密解密就可以,客户端向服务器请求进行数据加密,发送服务器端进行解密,然后返回数据,
但是请求返回的数据是不加密的,信任是单向的,有时候也需要加密就是双向加密,效率来说就比较麻烦和文件返回用
base64进行传输,处理效率也比较差,特别是服务器端还有专门的文件服务器的,代码层级处理起来就比较麻烦,效率也
很差,做过ios和java的同学应该比较了解,直接作为文件传输,php文件上传的时候,会先把文件上传系统的临时文件目录
而不是先去验证权限在上传,全局变量$_FILE php在上传到其他文件服务器,或者移动到文件目录,如果客户端
没有做验证,或者允许大文件上传,就会存在temp文件夹爆炸,服务器宕机的危险,对于中小项目来说,不是被人恶意攻击
问题不大,这种情况下需要使用base64传输就可以先验证在判断是不是在做处理,然后就是在服务器验证时候加上针对每
个接入端标识存储,线上好处理具体问题来自哪些方面的接口,可以比较好的定位
2,后台服务端->html5 微信 浏览器
因为现在狠多为了一种开发多处使用,必须现在流行的html5混合app开发简单方便,如果不是做游戏,性能一般app足够
使用,不要被原生性能更好的屁话左右,为了适配机器app需要做无数处理,麻烦的很,而且对于小公司人力成本是巨大的,
而且不同语言的数据对接本身就是时间消耗,精力消耗,各种未知bug的调试,特别是第一次做个的人,有些东西在不同语言
显示方式根本不一样,比如 一个数组(php)
key=>0,name=>z key在ios解析的时候key不显示,安卓key显示NULL,呵呵,所以一些细节很麻烦,但是也并不是原生的
不好,只是就现在的技术潮流来说是这样,比如如果一些ios新特性,在app的混合开发框架肯定不会那么及时的更新api接口
,比如hbuilder,做的HTML5+,整体性能也肯定没有object-c好,swift个人没什么了解,所以不清楚,所以有利有弊,需要技
术经理,公司,开发人员来衡量。
htnl5页面在微信和浏览器里面需要的快速,如果每次都需要验证数据加密,机密,效率首先需要考虑,而且js处理session
和cookies,在页面不太好处理,很多现在很多都是纯js去渲染数据,如果使用php来混合编写也是可以的,使用php来模拟
数据加密,请求接口,这样写比较容易,但是无法再混合app中使用,如果你只是单独开发手机浏览器和微信里面来使用php
混写是没有问题的,如果是页面需要纯js处理数据的话么就需要注意我说的上面的问题
数据认证的话,可以简单做用户登录,比如微信自动等,根据name和password,salt计算一个唯一值作为token去数据库校验,
接口请求的时候js发送请求的时候校验即可
3,文件服务器 特殊处理
很多项目到了后期都需要考虑单独的文件服务器的问题,比如我前面博客说道的,挂在nfs文件服务,或者文件服务器接口
文件服务器处理起来比较麻烦,但是对于大的项目来说也是必要的,所有服务都需要接口化,在接口认证里面进行权限和
资源分配,这就是SOA的过程,比如使用文件接口,在富文本编辑器上传文件的时候,就需要改造富文本编辑器的文件上传
所以有点麻烦,uedit修改文件上传路劲,支持api文件接口 我这篇博客就有介绍,文件服务器也有好处,就是可以规避一部
分文件安全问题
4,后台服务端->游戏客户端
这个和html有些相似,又有些不同,一个是为了高效数据传输,保持socket稳定,或者数据传输的速度,还有就是保证
数据不被篡改,比如游戏作弊,考虑的东西比较多,还有比如一局游戏某个用户断线了,多久T掉,保证游戏继续进行下去,接口里面
需要处理的东西很多,因为游戏需要更新的状态很多,合理的设计表结构也是无比重要,比如一个buff就增加一个字段的话,一个玩家状态
对应就有几百个字段,传输数据当然就会大,一次更新那么数据,速度和性能就得再次考虑
(后面更新)
API接口理论设计实践
1, 加密解密
使用https的 公钥 私钥 加密解密,但是其实也是发送数据不加密,只是通过签名pkf crt来加密和验证签名的正确性,
很多借口采用的就是这种设计,但是数据安全性,我不是很理解,发送的是明文数据,木马程序可以很轻松的监听,
这种单向信任的明文数据发送验证借口,在浏览器访问的时候是有自带https的公钥,但是php curl的是可以不带证书访问的,
所有依然是接口里面是明文发送出去的,(如果这段有错,请反馈)
2接口理论
现在普遍采用3des加密,只是因为方便,现在都出都有php ios java的通用demo方便,不方便的地方也有很多,发送的就是加密的数据,
虽然是对称加密解密,单向信任,但是也是根据单个接口的账号密码进行二次验证,如果你key和sercet,被别人知道,也是可以解密出加密发送的数据,如
果想使用接口获取数据,还是得有该用的用户名和秘密的,当然现在流行的手机号码+手机短信验证码也是可以,但是服务器对应实现才可以,而且
最好ios和安卓开发框架需要支持session,cookies,https等为好,后面会有说明
推荐框架,但是需要支持这个多个协议
3,数据传输格式
json xml 数据流 二进制 等等,但是数据解析方便来说json还是最方便的。建议json,主要是怕麻烦
4,支持请求方法POST GET 文件上传
麻烦一点就是文件上传,base64上传,或者直接文件上传,但是临时文件会出现上面说的系统临时文件爆了情况
5,兼容旧代码进行模拟登陆session cookies ,权限兼容
其他很多系统都需要去旧的rabc的里面去获取数据,模拟登录的时候,就会涉及到权限问题,当然你也可以单独剥离出来
这些功能,时间花的也比较长,特别是需要在客户端也要实现一定的权限的时候就麻烦了,你单独剥离出来,你又要去模拟
权限,当然,最好办法就是,接口对应的账号里面也去实现一套RBAC,这样后续开发人员就轻松了,看起来有点蛋疼,但是是比较
实际的问题,这个问题如果在设计接口的时候没有就考虑进去的话,就在对接一些旧功能就忒麻烦,特别是没有独立方法化的代码时候,
耦合度大,改起来麻烦的要死
6,目前接口优缺点。另一种接口设计方式
这个接口是所有终端同一个加密的秘钥,也就说一个终端秘钥丢失,就是可以获得其他终端发送的数据进行解密,获得发送数据,
所以中小项目,或者某个公司内部项目使用还不错,但是大项目api化的数据安全性就不是很好
另一种接口设计,就是每个终端都是自己使用的8位key和32位的 value 然后加密还是下面的加密方法,但是在吧user_key直接明文也带过
来先把数据库的这个用户的key 和value ,先解密,后吧对比解密数据里面的value 对比一样就通过,去处理数据,就像一般的
用户名密码登录校验一样,或者你想更安全就是md5('value .key') 去对比,全部不明文发送过来的数据
如果循环数据库的key 和value去解密,效率太低,app接口需要就速度和效率
7,一些细节问题
$_REQUEST['header'] 为什么要这样获取数据,因为在ios和安卓,字典必须是要key和vaule的,所以兼容
urldecode建议不要使用这对函数 使用
rawurldecode($str);
rawurlencode($str);
会出现+ 和%2D 空格,多种语言交互的时候这样的问题很多,所以要注意,特别是对接接口的时候,签名的时候
签名加密算法:sha1 长度40 (因为语言可能导致生产长度不一样)
foreach (unserialize($res['contract']['idcards_file_ids']) as $k => $v) {$rr['user_idcard_data'][$k]['file_paths'] = app_standard_path_new($file_path['file_path']);$rr['user_idcard_data'][$k]['file_id'] = $v['file_id'];$rr['user_idcard_data'][$k]['name'] = $v['name'];}}
如果把 $rr['user_idcard_data'] json传给app端,他就是个字典不是数组,对于ios和安卓来说
"customer_idcard_file": {"1": {"file_paths": "http://app.xinyzx.com/Uploads/personal_app_ios/201704/11/58ec42d23c090.jpeg","file_id": "717892","name": "work_card"}},
$rr['user_idcard_data'] = array_values($rr['user_idcard_data']);
需要处理成以下格式
"file_id":[{"file_paths":"58ec42d22f310.jpeg","file_id":"717891","name":"bank_card1"},{"file_paths":"58ec42d23c090.jpeg","file_id":"717892","name":"work_card"}]
demo实例代码,测试代码
本代码基于tp3.1.2 目前不提供完整测试类,后面有时间在更新
目前只支持 key 8位 secket 32位,支持更多位数的后续跟新
Crypt3Des.class.php 加密算法 3DES
<?phpclass Crypt3Des {private $key = "Symetric";private $iv = "Symetric";/*** 构造,传递二个已经进行base64_encode的KEY与IV** @param string $key* @param string $iv*/function __construct($key, $iv) {if (empty($key) || empty($iv)) {echo 'key and iv is not valid';exit();}$this->key = $key;$this->iv = $iv;}/***加密* @param $value* @return*/public function encrypt($value) {$td = mcrypt_module_open(MCRYPT_3DES, '', MCRYPT_MODE_ECB, '');$iv = base64_decode($this->iv);$value = $this->PaddingPKCS7($value);$key = base64_decode($this->key);mcrypt_generic_init($td, $key, $iv);$ret = base64_encode(mcrypt_generic($td, $value));mcrypt_generic_deinit($td);mcrypt_module_close($td);return $ret;}/***解密* @param $value* @return*/public function decrypt($value) {$td = mcrypt_module_open(MCRYPT_3DES, '', MCRYPT_MODE_ECB, '');$iv = base64_decode($this->iv);$key = base64_decode($this->key);mcrypt_generic_init($td, $key, $iv);$ret = trim(mdecrypt_generic($td, base64_decode($value)));$ret = $this->UnPaddingPKCS7($ret);mcrypt_generic_deinit($td);mcrypt_module_close($td);return $ret;}private function PaddingPKCS7($data) {$block_size = mcrypt_get_block_size('tripledes', 'cbc');$padding_char = $block_size - (strlen($data) % $block_size);$data .= str_repeat(chr($padding_char), $padding_char);return $data;}private function UnPaddingPKCS7($text) {$pad = ord($text{strlen($text) - 1});if ($pad > strlen($text)) {return false;}if (strspn($text, chr($pad), strlen($text) - $pad) != $pad) {return false;}return substr($text, 0, - 1 * $pad);}}
BaseAction.class.php
<?php//API父类
class BaseAction extends Action {protected $user_id;protected $appkey;protected $secret;protected $appIDname; //接入用户来源标示,可能在用户数据录入的时候会用到public function _initialize() {myLog($_REQUEST, 'api_log');if (empty($_REQUEST) && empty($_FILES)) {$this->response(array('code' => 0, 'msg' => '发送数据不能为空'), 'json', 200);}$data = $_REQUEST['header'];if (empty($data)) {$data = urldecode(file_get_contents('php://input')); //兼容php发送数据接收 和 php模拟测试,正式不一定if (empty($data)) {$this->response(array('code' => 0, 'msg' => '发送数据不能为空'), 'json', 200);}}$data = $this->crypt3des()->decrypt($data);myLog($data, 'api_log');$_POST = json_decode($data, true);//api接口日志记录--打印发送数据myLog($_POST, 'api_log');$this->origin = $this->check_sign($_POST);}function crypt3des() {import('App.ORG.Crypt3Des');$crypt3des = new Crypt3Des(base64_encode(C('crypt_key')), base64_encode(C('crypt_iv')));return $crypt3des;}function _empty() {$this->response(array('code' => 0, 'msg' => '_empty,非法操作'), 'json', 200);}protected function check_sign($data, $expires = 300) {$params = array();$params['timestamp'] = $data['timestamp'];if (time() - strtotime($params['timestamp']) > $expires) {$this->response(array('code' => 0, 'msg' => '签名已过期'), 'json', 200);}//数据库查询校验相关用户数据$where['app_api_name'] = $data['appkey'];$res = M('app_api_partner')->where($where)->find();if (empty($res)) {$this->response(array('code' => 0, 'msg' => 'appkey错误'), 'json', 200);}if ($res['api_status'] !== '0') {$this->response(array('code' => 0, 'msg' => '目前api账户不可用'), 'json', 200);}if ($res['app_api_key'] !== $data['secret']) {$this->response(array('code' => 0, 'msg' => '通信密钥错误'), 'json', 200);}$params['appkey'] = $res['app_api_name'];$params['secret'] = $res['app_api_key'];$sign = $this->data_auth_sign($params);// $this->response(array('msg' => $params, 'code' => 0), 'json', 200);if ($sign !== $data['sign']) {$this->response(array('code' => 0, 'msg' => '签名错误'), 'json', 200);} else {myLog('签名解析正确', 'api_log');$this->appIDname = $res['app_api_mark']; //返回接入的使用的名称}
}private function data_auth_sign($data) {if (!is_array($data)) {$data = (array) $data;}ksort($data);$param = array();foreach ($data as $key => $val) {$param[] = $key . "=" . $val;}$param = join("&", $param);$sign = sha1($param);return $sign;}}
C 获取系统配置数据
myLog 打印系统日志
function myLog($str, $flag = 'default') {//if( APP_DEBUG != true )return '';is_array($str) && $str = print_r($str, true);$dir = SYSTEM_ROOT . '/Uploads/logs/' . $flag . '/';!is_dir($dir) && @mkdir($dir, 0755, true);$file = $dir . date('Ymd') . '.log.txt';$fp = fopen($file, 'a');if (flock($fp, LOCK_EX)) {$content = "[" . date('Y-m-d H:i:s') . "]\r\n";$content .= $str . "\r\n\r\n";fwrite($fp, $content);flock($fp, LOCK_UN);fclose($fp);return true;} else {fclose($fp);return false;}
}
随机生成一个8位随机字符串
function get_rand_str($len) {$chars = array('a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v','w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R','S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9');$charsLen = count($chars) - 1;shuffle($chars);$output = "";for ($i = 0; $i < $len; $i++) {$output .= $chars[mt_rand(0, $charsLen)];}return $output;}
集成这个父控制就可以写你自己的代码了,下面是一个实力和一个接口测试的demo
<?php//客户信息相关api接口类class CustomerAction extends BaseAction {public function test() {$this->response(array('code' => 1, 'msg' => '测试成功', 'data' => $data), 'json', 200);}}
测试接口的demo
import('app.ORG.Crypt3Des');$crypt3des = new Crypt3Des(base64_encode(C('crypt_key')), base64_encode(C('crypt_iv')));$data['appkey'] = $_data['appkey'] = '11111111'; // 用于签名参数 对应C的取到的值$data['secret'] = $_data['secret'] = md5('11111111'); //用于签名参数$data['timestamp'] = $_data['timestamp'] = date('YmdHis', time()); //用于签名参数$data['sign'] = $this->data_auth_sign($_data);$data = json_encode($data);$crypt_data = (urlencode($crypt3des->encrypt($data)));$url = "http://127.0.0.1/app.php/customer/test";$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_POST, 1);curl_setopt($ch, CURLOPT_VERBOSE, 1);curl_setopt($ch, CURLOPT_POSTFIELDS, $crypt_data);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$return_data = curl_exec($ch);print_r($return_data);echo '<hr />';print_r(json_decode($return_data, true));if ($error = curl_error($ch)) {die($error);}
// $rinfo = curl_getinfo($ch);
// P($rinfo);curl_close($ch);
2017年6月24日23:17:10
这里补充一点,这个接口有个比较大的问题,就是没有版本控制,比如在接口加个V参数。
最新碰到一个问题就是,有个比较大的改版,因为ios发布不通过,导致安卓可以升级但是ios不能,所以整体升级就只能直接进行
解决发难,就是根据V参数的版本号去访问不同的比如,在访问控制器的ZxAction.class.php 的test方法的时候,实际访问的是Zxv3Action.class.php,或者 V3_zxAction.class.php,
在基础控制器里面处理一下,不然在大版本更新,如果某些接口是不能升级的话,就很需要这个参数进行处理对应的接口
/* 新增版本控制参数v很重要,根据版本控制,比如* * 访问 m=test&a=zx* 里面有$_POST['v'] =v1 * 实际访问的就是 m=test&a=v1_zx*/if (!empty($_POST['v'])) {$module = 'App_admin://' . MODULE_NAME;$function = $_POST['v'] . '_' . ACTION_NAME;A("$module")->$function(); 这里实例化的时候,会再次经过_initialize方法,有问题die;}
这个如果写在父控制器就会出现无限循环,出现问题
需要在自控制器里面加入这个,因为在初期没有考虑到这个,就只能补充这个,唉,经验不足
public function __construct() {parent::__construct();if (!empty($_POST['v'])) {$function = trim($_POST['v']) . '_' . ACTION_NAME;$this->$function();die;}}
其实还可以在父控制使用二级域名来控制,进行版本控制
php后台对接ios,安卓,API接口设计和实践完全攻略,涨薪必备技能相关推荐
- 最终幻想4 android,iOS/安卓版《最终幻想4》全攻略合集
iOS/安卓版<最终幻想4>全攻略合集 最终幻想IV,日文名:ファイナルファンタジー IV,是SQUARE SOFT的著名RPG游戏"最终幻想"(Final Fanta ...
- API接口设计最佳实践
目录 目录 前言 API接口设计 Token设计 API接口设计原则 1.明确协议规范 2.统一接口路径规范 3.统一接口版本管理 4.为你的接口设定调用门槛 5.接口返回规范 6.接口安全规范 7. ...
- java数据库的量级_百度万亿量级数据库Tera架构应用、设计与实践全攻略
信息技术发展突飞猛进,网络数据呈现爆炸之势,搜索引擎的实时性面临巨大挑战.百度搜索引擎每天处理着数万亿次的链接分析和数百亿次的互联网资源采集.作为百度搜索引擎的核心数据库Tera,是如何支撑万亿量级的 ...
- 百度搜索数据库——Tera 设计和实践全攻略
百度搜索引擎的作用是连接人与信息.连接人与服务,信息抓取.索引构建.检索系统构成了搜索引擎最经典的三大板块. 互联网上的信息是如何通过搜索引擎最终展示给用户的?首先,网页被搜索引擎发现,通过抓取进入搜 ...
- API接口设计,需要注意这4点
原文 | http://www.woshipm.com/pd/2772820.html 原则上API接口设计一般出现在开发的详细设计中,但是随着诸多公司建立开放平台,产品经理也逐渐需要能理解API接口 ...
- 64如何传入后台_如何保证API接口数据安全?
(给ImportNew加星标,提高Java技能) 转自:Java互联网架构师小马 链接:https://www.jianshu.com/p/e2d362ede89f 前后端分离的开发方式,我们以接口为 ...
- API接口设计之RESTful软件架构风格
说到API接口设计有的喜欢用Web Service,有的喜欢用WCF,当然也有还在用最原始的ashx,aspx页面的.无论采用什么方式能很好的满足业务需求就ok,但是不同的方式在扩展性.易用性,可维护 ...
- 16. 设计模式之契约原则:如何做好 API 接口设计?
一.契约式设计原则:API 设计的指导书 无论是架构设计还是编码实现,现在都越来越离不开接口设计,接口可以说是新时代的"集装箱",是得到了几乎所有人一致共识的通用标准. GoF 在 ...
- API接口设计 注意问题
摘要: 总结一下API接口开发过程中的注意事项 1.跨平台性 所谓跨平台是指我们的接口要能够支持不同的终端,比如Android.iOS.windowsphone以及桌面软件.网站等.如:不同的终端每页 ...
最新文章
- Java性能优化最易操作的10大技巧!
- 皮一皮:狗子的眼神很绝望...
- python 将字符串作为变量名
- 计算机四级信息安全题,2014年计算机四级考试信息安全工程精选真题
- 来自山西机器人乐队_格力:中国第一支工业机器人乐队重磅亮相
- 理解 JavaScript 作用域
- 关于求XXX.class.getResource(xxx).getPath()的用法
- 高并发编程知识体系阅读总结
- vfp生成菜单时文件不存在_如何在VFP项目中创建菜单
- 小数的初步认识ppt_三年级数学知识点总结-10小数的初步认识
- 如何使用VideoProc将MKV转换为MP4?
- 基于MATLAB的战术手势识别功能的设计与实现
- on duplicate mysql_mysql 避免重复写入数据的三种方式 和insert ...on duplicate updt... 死锁...
- 使用scrapy爬取前程无忧51job网站
- 采用 MRT-LBM 模拟旋转圆柱绕流2---MATLAB代码--王富海2017--基于 MRT-LBM 的流场与声场仿真计算
- antd页面多表单校验
- C++先序和中序确定二叉树
- 合资品牌车联网或率先尝到车联网技术的甜头?
- 单模光纤与多模光纤区别
- 服务注册eureka上显示ip地址出现的问题
热门文章
- 如何绕过反调试技术——PhantOM插件总结
- 多层 LSTM的实现
- 小学计算机教案四年级上册,四年级上册小学信息技术教学计划
- 从零开始带你实战搭建Spring Cloud Alibaba商城项目
- 0006 手动定制原版 Win7 操作系统(五)
- linux桌面卷积文件删除不掉,Linux 删除文件夹和文件的命令(强制删除包括非空文件)...
- i5 1035g4和i5 8265u哪个好
- HTML怎么制作镂空文字遮罩,用纯CSS实现镂空效果的示例代码
- 古琴:高山流水,难遇知音
- S7-1200PLC与昆仑通态触摸屏以太网通信的具体方法和步骤(图文)