TP如何开发安全的API接口

找了这都快一个月也没理解到底如何正确的开发安全的API接口!
1、如何开发一个pc web android ios 通用的api接口;
2、如何保证开发的接口安全;
在坛子里找了很多也都没有解决,只会发帖求助下。

我目前理解的接口开发方式:
数据库 -----> TP开发业务逻辑 并提供HTTP服务输出JSON数据 -------->终端发起HTTP请求调用根据返回的json数据进行显示操作

虽然看着好像没啥 但是这样别人知道了接口地址就能请求 不安全 (安全逻辑如何处理)

对应安全逻辑 我目前理解的是:
1、直接每个私有接口加上用户名 密码的方式;
2、token方式 在用户登陆接口中验证用户登陆后返回用户token以后每次带上token 可是对于Android和Ios来说可以相对安全的存储起来 web怎么存储 存储在cookie中吗 可是这个token没有类似session的状态 也就是说我关闭浏览器没有退出 下次打开浏览器还是获取了token进行了请求 按道理说应该关闭浏览器也就删除了cookie中的token 也有网友说放在sessionStorage中 但是好像sessionStorage不能跨tab;
3、HTTP头方式 看到有的网文说 将用户名密码base64后放在HTTP头中,这样不是别人也能base64解密出来;
4、oath2方式 好复杂 现在还是蒙的 说要怎么授权跳转 感觉这是第三方登陆 不适合私有接口 不知道oath2怎么实现安全的私有接口;
5、使用HTTPS方式 需要申请证书收费呢

请教下群大神 如何用TP或TP5开发一个安全的私有API接口 共 三平台(pc web android ios)公用,也就是主要登陆和返回的校验 以及之后三平台要发送来的校验 这里的逻辑如何实现 谢谢

weinxin
我的微信
把最实用的经验,分享给最需要的读者,希望每一位来访的朋友都能有所收获!
avatar

Comment

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: