‘壹’ 用php做服务器接口客户端用http协议POST访问安全性一般怎么做
1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
优点:防止了服务器端api被随意调用。
缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。
2.第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
每次请求带上cookie。
点评:和pc上浏览器认证的原理一样了。
以上两点,只有注册用户,才能有权访问业务逻辑,而app有大量的不需要注册数据api。
‘贰’ 判断php是否有http
PHP文件得用专业的编辑器打开,比如DW、editplus等,想要修改里面的代码也是在编辑器里面修改,除了打开文件需要的编辑器外,还需要在本地安装wamp,要搭配环境才可以在本地测试PHP文件,否则无法打开及测试!
我建议楼主去找后盾人,他那里有专家教学 而且还有解释得非常详细的视频,我在他那就学到了很多东西
‘叁’ PHP HTTP 认证实例详解
HP来实现HTTP的强制认证是十分简单的,只需简单的几行代码就可以实现,下面我们来看一个例子,然后结合这里例子我向大家详细介绍一下PHP实现HTTP认证。
<?php
if(!isset($_SERVER['PHP_AUTH_USER']))
{
header('WWW-Authenticate:
Basic
realm="系统名称"');
header('HTTP/1.0
401
Unauthorized');
echo
'未通过HTTP认证.';
exit;
}
else
{
echo
'认证通过.';
echo
'用户名:
'.$_SERVER['PHP_AUTH_USER']."\n";
echo
'密码:
'.$_SERVER['PHP_AUTH_PW']."\n";
}
?>
1.实现说明
怎么样,看到上面的代码了吧,就这么几行添加到你的程序页面上就可以实现了.
它是通过利用header()函数向客户端浏览器发送”Authentication
Required”信息,强制其弹出一个用户名/密码输入窗口,当用户输入用户名和密码后,包含有URL的PHP脚本将会加上预定义变量PHP_AUTH_USER,
PHP_AUTH_PW和AUTH_TYPE然后再次调用,这三个变量分别表示用户名,密码和认证类型(从PHP5.0.1起开始支持”Basic”和”Digest”两种认证方式),它们被保存在$_SERVER(从HP>>4.1.0起有效)或$HTTP_SERVER_VARS(从PHP3起有效)数组中具体应用时,我们可以把验证的几行代码写成函数,只要判断到用户变量不存在或验证不正确就一直执行该函数并弹出窗口,而且还可以设置错误登录几次就不允许该用户访问,具体的使用大家使劲的发散思考吧.
2.注意事项:
1.这段代码必须放到程序的开始,且在其开始执行之前不能有任何输出(若有输出则需要使用输出缓冲函数才行).
2.PHP的HTTP认证机制仅在PHP以Apache模块方式运行时才有效,这个容易理解,它本身是HTTP强制认证,肯定是不适合于CGI版本,不能在命令行下执行的.
3.header发送标头代码时请小心.为了对所有的客户端保证兼容性,关键字”Basic”的第一个字母必须大写为”B”,分界字符串必须用双引号引用(不能是单引号);在HTTP/1.0和401之间必须有且仅有一个空格.
4.在上面列子中,仅输出了用户名和密码,而在实际系统中则可按照登录验证流程进行与数据库或其他方式进行判断和验证.
5.从PHP4.3.0起,为防止有人通过编写脚本来从页面上获取密码,当外部认证对特定页面有效,并且安全模式被开启时,PHP_AUTH变量将不会被设置.可以用REMOTE_USER来辨别外部认证的用户,用AuthType指令来判断外部认证机制是否有效.
6.要想让HTTP认证能够在IIS下工作,PHP配置选项cgi.rfc2616_headers必须设置为0(默认值).
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
‘肆’ 在php中如何模拟HTTP_USER_AGENT,一个网站需要验证这个,请问下怎么模拟
<?php
//client
$ch=curl_init();
curl_setopt_array($ch,
array(
CURLOPT_URL=>'http://localhost/ua.php',
CURLOPT_USERAGENT=>"YeRenChai_v1.0",
CURLOPT_RETURNTRANSFER=>True,
CURLOPT_FOLLOWLOCATION=>True,
)
);
$response=curl_exec($ch);
if(!$response)exit(curl_error($ch));
var_mp($response);
?>
‘伍’ php header头如何添加Authorization登录验证
session有作用域,建议把session存到全局空间中去,每次登陆时候取全局里面的数据验证
‘陆’ php写了接口,现在要进行http协议验证,app端发送一个time+字符串 (加密以后)给Php端,php端接收
这是一个TOken 验证的过程,但是你的time+字符串,在PHP这边没办法判定,请问你的加密函数采用的是什么加密,是单向加密还是双向加密
如果是是双向加密就没什么问题,直接解密,
如果是单向加密,你需要将这个time+字符串提前存进文件或者数据库中,用来做一一对应
‘柒’ PHP 怎么判断是否有http
$source=$_SERVER['HTTP_HOST'];
if(preg_match('/(http://)|(https://)/i',$source)){
$source=preg_replace('/(http://)|(https://)/i','',$source);
//去掉http://和https://前缀
}