2013-04-16 130 views
0

我有我自己的API,內置php,並帶有zend框架,用於數據庫的CRUD功能。保護php api

但現在我擔心我的小API有點擔心,因爲我需要有投票功能,允許用戶每個項目投票一次。投票的唯一要求是用戶的Facebook ID,所以我害怕如果有人循環發佈我的投票API與很多Facebook的ID。

所以現在我正在考慮從我的應用程序客戶端將加密的令牌傳遞給投票API,並在API做這些事情之前檢查它。

所以我想知道什麼是生成動態令牌並將其安全地傳遞給API的最佳方法?還是有任何簡單的方法來識別從我的應用程序客戶端以外的任何來源發出的API請求?

目前我使用jquery ajax將所有json數據傳遞給我的api。謝謝!

回答

0

我能想到的最簡單的方法是,你在API調用中加入了一些哈希來驗證數據來自你的應用。 例如你可以創建Facebook ID和鹽的散列。你只需確保接收端知道用於該呼叫的鹽。 例如

hash = sha256(Facebook_id+app_id) 

將是一個辦法。

+0

酷我正在考慮使用會話ID,但是Facebook的Facebook ID也可用。謝謝。 – zaw